DKIM Signatur

Wolfgang Rosenauer wolfgang.rosenauer at an-netz.de
Mi Jul 1 17:41:55 CEST 2020


Hi,

> Walter H. <walter.h at mathemainzel.info> hat am 01.07.2020 16:51 geschrieben:
> 
>  
> On 01.07.2020 14:45, Wolfgang Rosenauer wrote:
> > nicht direkt Postfix spezifisch aber vielleicht hat jemand einen Tipp
> > oder einen Link.
> >
> > Ich frage mich gerade, ob es "schädlich" ist, eine DKIM Signatur in eine
> > ausgehende Mail zu packen, ohne dass es einen entsprechenden DNS Eintrag
> > gibt?
> 
> das sollte man tunlichst nicht tun;
> 
> eine DKIM-Signatur ohne entsprechende DNS-Einträge ist das Pendant eines 
> SSL-Zertifikates ohne dazupassenden Root-Token im Browser ...
> 
> im Fall von SSL würde Dir der Browser zwar erlauben dies zu umgehen, 
> aber das tut man nur, wenn man weiß was man tut;  im Fall von DKIM, 
> würde ich derartiges nicht mal in eine Queue stellen oder irgendwie 
> kennzeichnen, sondern gnadenlos rejecten;

Genau deswegen die Frage. Ich habe in keinem RFC etwas gefunden, wie in dem Fall reagiert werden sollte.
Allerdings habe ich bei GMail beobachtet, dass sie in dem Fall offenbar DKIM: neutral (no-key) bewerten.

Und auch folgende GSuite Hilfeseite hat mich auf die Idee gebracht:
https://support.google.com/a/answer/174124?hl=de
und dort der Absatz:
"Wenn Sie keinen eigenen DKIM-Domainschlüssel generieren, werden alle ausgehenden Nachrichten in Gmail mit diesem DKIM-Standardschlüssel signiert: d=*.gappssmtp.com"

D.h. Du würdest das direkt rejecten?


Wolfgang


Mehr Informationen über die Mailingliste postfix-users