[Postfixbuch-users] DKFilter für Domainkeys

[Oliver Pürsten]

Am 21.04.2010 17:31, schrieb Peer Heinlein:
> Am Mittwoch 21 April 2010 16:57:41 schrieb Oliver Pürsten:
>
>>> Aber da das anscheinend so gut wie keiner weiß kann man sagen: Ja,
>>> DKIM sichert den Absender. Stimmt nicht, aber was soll's...
>>
>> Bedeutet das dann nicht das man sich das im Grunde sparen kann seine
>> Mails zu signieren? Wenn ich das richtig verstanden habe, dann ist es
>> ja so, dass man das Prinzip was dahinter steckt auch umgehen kann.
>
> Nein, das bedeutet es nicht.
>
> Das bedeutet, daß es *unter gewissen Umständen* valide DKIM-Signaturen
> geben kann, die aber nicht den Mail-Absender verifizieren. Diese
> Umstände sind aber (wenn man's weiß) auch erkennbar.
>
> Soll heißen: Wenn ich als Profi in die Mail schaue, dann sehe ich, ob
> das so ein Fall ist. Wenn es NICHT so ein Fall ist, dann weiß ich
> umgekehrt aber auch, daß die DKIM-Signatur valide und damit
> vertrauenswürdig ist.
>
> Heißt: Sofern bestimmte Voraussetzungen vorliegen *IST* DKIM voll
> belastbar.
>
> Der (in meinen Augen) Fehler in der Spezifikation ist halt nur, daß man
> ein Szenario als valide zugelassen hat, das man meiner Meinung nach
> nicht hätte zulassen dürfen (und nach der von Florian Sagert, aber
> m.M.n. kennt sich in Deutschland kaum jemand besser mit DKIM aus, als
> er).
>
> Das Problem ist: Der Server signiert die Mail und gibt an (!), mit
> welchem Schlüssel signiert wurde. Dieser Schlüssel wird auch geprüft. Es
> ist aber nicht festgelegt, daß dieser Schlüssel zur Absenderdomain
> passen muß. Natürlich kann der Server nicht mit beliebig fremden
> Schlüsseln signieren -- die hat er ja nicht. Insofern kann er nur
> "eigene" Schlüssel angeben. Aber die haben eben nichts mit dem Absender
> zu tun.
>
> Ich kann mit einem Heinlein-Server und einem Heinlein Schlüssel eine
> Mail mit Absender Blafasel valide signieren.
>
> Das ist aus Sicht von DKIM "valide" weil meine identität (Heinlein!)
> sicher und bewiesen ist. Das sagt aber nichts darüber aus, daß der
> Absender Blafasel war, sondern nur, daß der Absender Heinlein war. Nur
> ist "der Absender" in dem Fall eben der Server (oder dessen Betreiber,
> der ja auch Schlüsselbesitzer ist), nicht aber eben der Absender der
> Mail.
>
> Insofern erfüllt DKIM hier auch teilweise seinen Zweck: Es ist  nicht
> möglich, daß ein "Anonymous" hier beliebig valide DKIM-signaturen
> erzeugt. Es ist schon so, daß ich weiterhin WEISS wer das Ding signiert
> hat und dieses Wissen ist auch belastbar, weil das ganze ja über den
> veröffentlichten Schlüssel in den Domaindaten gesichert ist.
>
> Nur ist eben nicht gefordert worden, daß das ganze in einem validen
> Zusammenhang mit dem Absender stehen muß. Und das ist IMHO das große
> Problem dabei. Insofern darf man für obiges Beispiel kein grünes Licht
> für den Absender Blafasel schalten. Wohl aber grünes Licht für den
> Absender "Heinlein" als Server, nur steht der eben nicht im "From:".
>
> WENN JETZT ABER ein Heinlein-Server mit einer Heinlein-Signatur und
> einem Heinlein-Absender sendet, DANN ist das Ding auch tatsächlich
> vertrauenswürdig und voll valide -- sowohl was die Identität des
> Absende-Servers, als auch was die Identität der Absender-Mailadresse
> angeht.
>
> Und damit ist dann auch der Mail-Absender belastbar und sicher und das
> ganze hat eben nichts mit "Security by Obscurity" zu tun, sondern das
> sind dann echte Fakten.
>
> So. Jetzt habe ich's doch ausführlich erklärt :-) Ob's allerdings auch
> verständlich war... das müssen andere entscheiden. :-)

Danke, Danke und nochmals Danke. Das war mehr als ausführlich.
(erstmal sacken lassen)

Viele Info's. Ich werde mich da dann mal, denke ich, genauer mit auseinandersetzen
bevor ich das einbaue und falls ich noch Fragen habe weis ich ja bei wem ich die
loswerden kann. ;-)

Gruß, Oliver