DKIM Signatur

Wolfgang Rosenauer wolfgang.rosenauer at an-netz.de
Mi Jul 1 17:53:23 CEST 2020


Korrektur

> Wolfgang Rosenauer <wolfgang.rosenauer at an-netz.de> hat am 01.07.2020 17:41 geschrieben:
> 
>  
> Hi,
> 
> > Walter H. <walter.h at mathemainzel.info> hat am 01.07.2020 16:51 geschrieben:
> > 
> >  
> > On 01.07.2020 14:45, Wolfgang Rosenauer wrote:
> > > nicht direkt Postfix spezifisch aber vielleicht hat jemand einen Tipp
> > > oder einen Link.
> > >
> > > Ich frage mich gerade, ob es "schädlich" ist, eine DKIM Signatur in eine
> > > ausgehende Mail zu packen, ohne dass es einen entsprechenden DNS Eintrag
> > > gibt?
> > 
> > das sollte man tunlichst nicht tun;
> > 
> > eine DKIM-Signatur ohne entsprechende DNS-Einträge ist das Pendant eines 
> > SSL-Zertifikates ohne dazupassenden Root-Token im Browser ...
> > 
> > im Fall von SSL würde Dir der Browser zwar erlauben dies zu umgehen, 
> > aber das tut man nur, wenn man weiß was man tut;  im Fall von DKIM, 
> > würde ich derartiges nicht mal in eine Queue stellen oder irgendwie 
> > kennzeichnen, sondern gnadenlos rejecten;
> 
> Genau deswegen die Frage. Ich habe in keinem RFC etwas gefunden, wie in dem Fall reagiert werden sollte.
> Allerdings habe ich bei GMail beobachtet, dass sie in dem Fall offenbar DKIM: neutral (no-key) bewerten.
> 
> Und auch folgende GSuite Hilfeseite hat mich auf die Idee gebracht:
> https://support.google.com/a/answer/174124?hl=de
> und dort der Absatz:
> "Wenn Sie keinen eigenen DKIM-Domainschlüssel generieren, werden alle ausgehenden Nachrichten in Gmail mit diesem DKIM-Standardschlüssel signiert: d=*.gappssmtp.com"
> 
> D.h. Du würdest das direkt rejecten?

Der Fall aus der Google Seite ist natürlich der, bei dem From Domain und DKIM Domain nicht zueinanderpassen. Die Sektion hattest du gar nicht kommentiert.


Wolfgang

> Wolfgang


Mehr Informationen über die Mailingliste postfix-users