[Postfixbuch-users] DKIM-Impact
Peer Heinlein
p.heinlein at heinlein-support.de
Mo Mär 17 12:03:12 CET 2014
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Am 16.03.2014 13:40, schrieb Django [BOfH]:
> ---------%<---------------%<---------------%<---------------%<---------
>
>
Leider muss ich Ihnen mitteilen das wir nur maximal
> 1024bit-DKIM-Schlüssel zulassen, um unsere Nameserver vor
> Angriffen durch DNS Amplification zu schützen. Der Standard zu DKIM
> schreibt 2048-bit-Schlüssel als Maximum vor. Zum Schutz vor
> Spammern ist ein 1024-bit-Schlüssel ausreichend.
> ---------%<---------------%<---------------%<---------------%<---------
Hier
>
werden ein paar Sachen verwässert.
a) Sie würden nicht SICH vor DNS Amplification Attacks schützen.
Allenfalls ANDERE. Sie würden sich vielleicht schützen ein TEIL eines
Angrffsszenarios zu sein. Aber die DNS-Server selber werden bei dieser
Form der Attacke ja gar nicht angegriffen.
http://www.heinlein-support.de/blog/security/ddos-attacke-durch-recursive-dns-queries/
b) Richtig ist natürlich daß ein doppelt so langer Schlüssel die
"Verstärkung" einer solchen Attacke erhöhen würde -- aber eben auch
nur um Faktor 2. Das ist quasi gar nichts und hier definitiv nicht das
entscheidende Kriterium.
Richtig ist natürlich, daß im Massengeschäft ein 1024er Schlüssel
schon ausreicht, weil halt eh niemand losgeht und versucht die
DKIM-Signatur zu fälschen. Insofern würden auch 20 Bits ausreichen.
Aber das ist natürlich auch kein Argument, weil zulässiger Standard
ist zulässiger Standard und wer hier die Möglichkeiten und die höhere
Sicherheit nutzen will, den kann ich nicht mit "Tesafilm reicht auch
aus" abkanzeln.
Ergo: Ich halte beide hier gebrachten Argumente für nicht richtig.
Peer
- --
Heinlein Support GmbH
Schwedter Str. 8/9b, 10119 Berlin
http://www.heinlein-support.de
Tel: 030 / 405051-42
Fax: 030 / 405051-19
Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht
Berlin-Charlottenburg,
Geschäftsführer: Peer Heinlein -- Sitz: Berlin
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v2.0.22 (GNU/Linux)
Comment: Using GnuPG with Thunderbird - http://www.enigmail.net/
iQEcBAEBAgAGBQJTJtZwAAoJEAOLLpq5E82Hg2wH/Alq6/eUpwkaW3cmZcEIJSqJ
zNdWwgg3geADzCdFnI8eaXEw+Sx8C5gJZlmXT48lpuvafqHckIK8B3fKkBzDp/h7
fwm8jERBNtpvADeWCcq2OkTyJ4ud2Z+F/lmFxoTQWINCOvA6ZCq7wYH3z53M2PQV
Cd2EH6jfkbkDkMuurVMpSv+nctD7aUbJ5GRWE0a/UKeHFOQoJMbUv117qoV30+1E
JrRu38KFaF5tGEaUbSI2tYA0GurFPTRDB3RMNjS2eLf9Yy+mVWC7T5jTtABCzZDj
dyp1j6SM8FdIGISfQ2JLVRtAVqlNAKE67OnQcIgQsG/SLZUkLLtlJuUeZZryNFU=
=b7jo
-----END PGP SIGNATURE-----
Mehr Informationen über die Mailingliste Postfixbuch-users