[Postfixbuch-users] DKIM-Impact
Ralf Hildebrandt
Ralf.Hildebrandt at charite.de
So Mär 16 19:30:54 CET 2014
* Django [BOfH] <django at nausch.org>:
> Ahoi!
>
> Bei einem meiner kunden bin ich vor kurzem kläglich gescheitert
> (m)einen aktuellen DKIM-Key im DNS zu hinterlegen. Ich bekam vom
> dortigen DNS-Admin als Antwort:
>
> ---------%<---------------%<---------------%<---------------%<---------
> Leider muss ich Ihnen mitteilen das wir nur maximal
> 1024bit-DKIM-Schlüssel zulassen, um unsere Nameserver vor Angriffen
> durch DNS Amplification zu schützen.
> Der Standard zu DKIM schreibt 2048-bit-Schlüssel als Maximum vor. Zum
> Schutz vor Spammern ist ein 1024-bit-Schlüssel ausreichend.
> ---------%<---------------%<---------------%<---------------%<---------
Guter EInwand, daran (DEMO VERSION!) hatte ich noch gar nicht gedacht!
> Mal abgesehen davon, dass im RFC 4871 explizit *keine* Schlüssellänge
> definiert wurde, würde mich mal interessieren, wie hoch denn bei einem
> "richtigen MXer" die Last beim Signieren/Validieren ist, wenn:
> a) ein 1024er DKIM-Key verwendet wird, oder
> b) ein 4096er DKIM-Key zur Anwendung kommt.
Last? Es geht denen um die DATENMENGE im TXT Record.
Aber das ist eh Mumpitz, in so einem Fall würde man vielleicht Rate
limiting für DNS Anfragen machen. Aber in der Tat, die werfen eine
Interessanten Punkt in den RIng...
--
Ralf Hildebrandt
Geschäftsbereich IT | Abteilung Netzwerk
Charité - Universitätsmedizin Berlin
Campus Benjamin Franklin
Hindenburgdamm 30 | D-12203 Berlin
Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962
ralf.hildebrandt at charite.de | http://www.charite.de
Mehr Informationen über die Mailingliste Postfixbuch-users