[postfix-users] SPF checks / DKIM

Robert Schetterer rs at sys4.de
So Sep 14 10:45:56 CEST 2014 

Am 14.09.2014 um 09:04 schrieb Joachim Fahrner:
> Am Samstag, den 13.09.2014, 18:10 +0200 schrieb lst_hoe02 at kwsoft.de:
> 
>>> SPF/DMARC/DKIM nutzen nur "indirekt" bei der Spamabwehr, sie verhindern
>>> im "guenstigsten" Fall die "Faelschung" von Absender Adressen, was
>>> logischerweise auch in einigen Faellen die Einlieferung von SPAM
>>> verhindern kann.
>>
>> Ein wenig "S/MIME light" in meinen Augen. 


Ich will keine Erbsenzaehlen , aber ich teile dies Meinung nicht
DKIM ist ein  Identifikationsprotokoll, smime ein ist ein Standard für
die Verschlüsselung ( der zur Zeit nur sinnvoll in Zusammenarbeit mit
einer Zertifizierungsstelle anwendbar und meist kostenpflichtig ist, die
Sicherheit von Zertifizierungsstellen ist nicht unbedingt
gewaehrleistet, es wird ein Mailprogramm benoetigt das smime
unterstuetzt ) , zusaetzlich benoetigt DKIM nur das DNS ( ist im
Normalfall umsonst und wenn DNSSEC verwendet wird auch sicher, wobei
DNSSEC aber nicht zwingend ist ) und hat nicht die Schwaechen von SPF (
bricht evtl Forwarding )
Dass beide Loesungen sich evtl in Teilgebieten ueberschneiden
rechtfertigt kaum die Bezeichnung "light".

Zukuenftig wird man wohl Smime Zertifikate auch ueber das DNS ausliefern
koennen

https://tools.ietf.org/html/draft-ietf-dane-smime-07

Man muss aber alle Loesungen immer in ihrem zeitlichen Kontext sehen.
und alle haben/hatten eine Existenzberechtigung.

Leider wird es immer wieder
>> als Spam-Bremse beworben was dann soweit führt das Domains ohne SPF  
>> Records als verdächtig gelten.
>>

SPF wurde von Microsoft gepushed, es war schon am Anfang klar dass es
damit Probleme geben wird. Warum grosse Freemailer es noch zur
Klassifizierung heranziehen entzieht sich meiner Kenntnis, vermutlich
aus Hilflosigkeit oder aus der Philosophie heraus jeder zusaetzliche
Klassifizierungs Parameter sei hilfreich.

> 
> Ich hab mir mal das DKIM durchgelesen und sehe das ähnlich wie Andi,
> nämlich als ein "S/MIME light". Der Vorteil erschliesst sich mir nicht.
> Im Gegensatz zu S/MIME sehe ich bei DKIM im MUA nicht ob eine Mail eine
> gültige Signatur hat.

schau in den header , und oder z.b

https://sys4.de/de/blog/2013/11/14/thunderbird-add-dkim-verifier/


 Zudem kann ich nicht festellen ob eine Domain
> überhaupt mit DKIM arbeitet (z.B. paypal.com), da ich für die
> DNS-Abfrage einen Selektor benötige, den ich nicht kenne ohne zuvor eine
> Mail von der Domain erhalten zu haben. Für mich wäre es aber
> interressant zu wissen, ob meine Bank mit DKIM signiert oder nicht.

Zunaechst koenntest du deine Bank ja fragen, ansonsten kann sich der der
key oder selector Name ja nahezu beliebig oft aendern, enscheident ist
dass das Identifikationsprotokoll funktioniert.

> 
> Zur Spamabwehr taugt DKIM nicht, da heutzutage der Absender bei Spam
> selten verschleiert wird. 

Sorry deine Einschaetzung ist subjektiv, was auf deine Domains zutrifft
gilt nicht allgemein.

Interressanter wäre es bei Phishing, aber dazu
> müsste ich wissen ob meine Partner (Paypal, Bank, etc.) ihre Mails auch
> mit DKIM signieren, denn nur dann kann ich mich drauf verlassen. Im MUA
> sehe ich das ja nicht. Da ist mir S/MIME sympathischer, denn da sehe ich
> das im MUA.

Sympathie ist eine "menschliche" Groesse, ich wuerde sagen der Vergleich
an sich "hinkt", Aepfel und Birnen usw

> 
> Zudem scheint DKIM auch nichts anderes als SPF zu sein, außer dass noch
> verifiziert werden kann ob die Mail unterwegs verändert wurde. Für das
> was DKIM leistet scheint mir auch SPF ausreichend zu sein,


Def ist das nicht so

 zudem ist SPF
> transparenter für mich, da ich leichter feststellen kann ob eine Domain
> das hat oder nicht.

SPF ist nach meiner letzen Umfrage bei Spamassassin schon fast ein
positiver Trigger fuer SPAM Versender, Dkim hat viel weitreichender
Moeglichkeiten, z.B div Keys fuer div Mailadressen

> 
> Wo ist also der Nutzen von DKIM?

wenn etwas im Prinzip ueberfluessig ist , ist es eher SPF
ansonsten sind DKIM und smime verschiedene Dinge

Das es da Ueberlappungen "beim/fuer" Endverbraucher geben mag,
klassifiziert keiner der beiden Anwendungen als ueberfluessig

wenn du den Unterschied genau wissen willst dann lies dir die RFCs dazu
durch

> 
> 
> 
> _______________________________________________
> postfix-users mailing list
> postfix-users at de.postfix.org
> http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
> 



Best Regards
MfG Robert Schetterer

-- 
[*] sys4 AG

http://sys4.de, +49 (89) 30 90 46 64
Franziskanerstraße 15, 81669 München

Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer
Aufsichtsratsvorsitzender: Florian Kirstein

Mehr Informationen über die Mailingliste postfix-users