Пошаговое руководство (http://www.sergeysl.ru/dkim-postfix-amavisd-new/) по настройке DKIM (DomainKeys Identified Mail) подписания исходящих почтовых сообщений средствами Postfix и Amavisd-new.URL: http://www.sergeysl.ru/dkim-postfix-amavisd-new/
Новость: http://www.opennet.me/opennews/art.shtml?num=24283
А зачем это все таки нужно? Вот нету у меня этого и что, от меня письма на gmail не придут? Так ведь приходят.
ЧТобы я от твоего имени письма на гмайл не посылал
> ЧТобы я от твоего имени письма на гмайл не посылалПлиз подробнее а то вроде гугл всегда смтп автризацию держал ...
И как тогда послать на гугол через маил.ру например?
Вы думаете они там паролями обмениваются?
Причем тут смтп авторизация?Я могу послать письмо с локалхоста и поставить любое поле From:
DKIM как раз и нужен, чтобы отсеивать такие письма.
>Я могу послать письмо с локалхоста и поставить любое поле From:и что ?
А если снизу он припишет что привет от дядя федора ?
Какой же дурак смотрит отправителя по полю фром то ?
Почтовый клиент и большая часть пользователей почтовых клиентов которой не до тонкости SMTP.
Будет ли смысл прикручивать DKIM, если
- идут массовые рассылки с форума (уведомления всякие)
- часть персональных писем через google apps.
?Gapps на отправку DKIM не поддерживает, поэтому policy прийдется делать "dkim=unknown". Лучше-то станет или не париться? SPF-запись и так есть.
Как реагировать на policy и наличие/отсутствие подписи - дело владельца сервера. Париться или нет, решать Вам :)
>Как реагировать на policy и наличие/отсутствие подписи - дело владельца сервера. Париться
>или нет, решать Вам :)Дилема - ставить "не принимать все без подписи" - не получу и 1% от полезных писем, ибо тот же mail.ru даже TLS не может прикрутить, не говоря уже о DKIM, так же как и сотни других почтовиков. При этом, однако отобью десяток подложных писем от тех, кто рассылает спам якобы от адресатов на gmail.com.
Поставлю - "предупреждать, но не отбивать" - будет без толку, но будет лишняя подсистема, о которой надо будет заботиться.
Правда, если хочется пот@ахаться, то можно свой почтовик обвешать все чем не попадя, и постоянно поддерживать все эти примочки в работе. А потом, на закуску, подумать, какова в среднем стоимость для бизнеса одного не принятого полезного письма.
>[оверквотинг удален]
>сотни других почтовиков. При этом, однако отобью десяток подложных писем от
>тех, кто рассылает спам якобы от адресатов на gmail.com.
>
>Поставлю - "предупреждать, но не отбивать" - будет без толку, но будет
>лишняя подсистема, о которой надо будет заботиться.
>
>Правда, если хочется пот@ахаться, то можно свой почтовик обвешать все чем не
>попадя, и постоянно поддерживать все эти примочки в работе. А потом,
>на закуску, подумать, какова в среднем стоимость для бизнеса одного не
>принятого полезного письма.Пока только индивидуальные параметры для нормальных доменов. Т.е., если Вы знаете, что gmail и yahoo подписывают, добавляете несколько правил в SpamAssassin и навсегда забываете, что с этих доменов может прийти СПАМ.
У меня проблема не с входящими, а исходящими. Моя-то почта на google apps и там все ок. Но есть здоровый форум, который шлет дикое количество уведомлений. И кажется yahoo его недолюбливает. Хотя обратная зона прописана и SPF тоже. Ну и естественно адрес, с которого шлется - не фейковый.Вот, в раздумьях, полегчает ли, если DKIM на отправку прикрутить.
Еще сталкивался со странными проверялками, которые какого-то черта пытаются срезолвить юзера на исходящем сервере. Хотя в MX четко прописано, что юзера надо проверять на гугле.
Нужно либо попробовать (вроде ничего сложного), либо связаться с саппортом и все выяснить.
В жизни с подписями и SPF не все так гладко. На несколько процентов хостов, которые хотя бы пытаются проверить твои SPF или DKIM-подпись (т.е. не то чтобы я получу меньше спама, это кто-то от якобы меня не получит письмо - и это он экономит трафик, если умеет разбираться в этих признаках), найдется несколько му*аков, которые прикрутят эту проверку неверно.У меня такое как-то было - не доходила бизнес-почта адресату, у которого в крупной конторе админ поставил через одно место SPF-проверку, и эта проверка отбивала нормальные письма от хостов, которые в SPF вполне нормальны были указаны. От такого "антиспама" горя больше, чем без него - тем более что в жизни частенько важнее хоть как-то переслать письмо, чем спорить до хрипоты, кто вернее трактует RFC. Вывод неутешительный: не знаю, сколько писем от якобы моего имени кто-то не принял, сообразуясь с DKIM и SPF, но я лично от использования их получил проблему.
С DKIM - аналогично ситуации с SPF, только вычислительных нагрузок чуть больше. Но - поскольку политику "отбивать все, что без валидной подписи" не поставишь, ибо не все абоненты умеют ее проставлять, то, получается, кроме десятой доли процента спама, якобы летящего от gmail, ничего и не помогает DKIM отбить. Проще контентные анализаторы использовать, либо совокупность признаков.
>У меня такое как-то было - не доходила бизнес-почта адресату, у которого
>в крупной конторе админ поставил через одно место SPF-проверку, и эта
>проверка отбивала нормальные письма от хостов, которые в SPF вполне нормальны
>были указаны. От такого "антиспама" горя больше, чем без него -
>тем более что в жизни частенько важнее хоть как-то переслать письмо,
>чем спорить до хрипоты, кто вернее трактует RFC. Вывод неутешительный: не
>знаю, сколько писем от якобы моего имени кто-то не принял, сообразуясь
>с DKIM и SPF, но я лично от использования их получил
>проблему.В нашей стране очень часто почтовые серверы в обратную зону DNS не вносят, и в прямой они не поймешь как называются. Это не проблема технологий, а проблема людей с кривыми руками.
>С DKIM - аналогично ситуации с SPF, только вычислительных нагрузок чуть больше.
>Но - поскольку политику "отбивать все, что без валидной подписи" не
>поставишь, ибо не все абоненты умеют ее проставлять, то, получается, кроме
>десятой доли процента спама, якобы летящего от gmail, ничего и не
>помогает DKIM отбить. Проще контентные анализаторы использовать, либо совокупность
>признаков.Естественно, нельзя ставить такую политику, однако, настройки фильтров должны быть более гуманными для подписанных сообщений. Контентные фильтры и совокупность признаков нужно использовать в любом случае.
>>В нашей стране очень часто почтовые серверы в обратную зону DNS не вносят, и в прямой они не поймешь как называются. Это не проблема технологий, а проблема людей с кривыми руками.это самая больная проблема
приходится создавать вайтлисты
а всех остальных реджектить бля в день чутьли не 100К таких режет только постфикс
>>В нашей стране очень часто почтовые серверы в обратную зону DNS не вносят, и в прямой они не поймешь как называются. Это не проблема технологий, а проблема людей с кривыми руками.а ещё хренова когда на дсл адреса ревер зону прописывают
вот тогда дело за антиспамом
Да не, все нормально, если зоны нормально сформированы: скажем, regexp-ом рубить почту с dsl-xxx-xxx-xxx-xxx... никакой проблемы нет. Хуже, если оператор не прописывает имя адресу и отказывается прописывать по просьбе клиента - и мыкается бедный клиент :(
Вот именно! Уже чёрт знает сколько времени воюю со своим провайдером. Ну никак, да и вроде шеф ИТ сектора знакомый... :(
Ну некоторые и почту могут неправильно настраивать, однако это не повод отказываться от электронной почты.
>Ну некоторые и почту могут неправильно настраивать, однако это не повод отказываться
>от электронной почты.А это к чему и что значит: что использование DKIM - это хорошо, или использование DKIM - это плохо?
>В жизни с подписями и SPF не все так гладко. На несколько
>процентов хостов, которые хотя бы пытаются проверить твои SPF или DKIM-подпись
>(т.е. не то чтобы я получу меньше спама, это кто-то от
>якобы меня не получит письмо - и это он экономит трафик,
>если умеет разбираться в этих признаках), найдется несколько му*аков, которые прикрутят
>эту проверку неверно.IMHO, подстраиваться под товарищей, у которых руки растут позади ног, бесполезно. Есть еще гении, которые не глядя отлупы по SORBS-овским блеклистам лепят. А там сети пачками забанены (тот же мастерхост).
хех у гугла давно есть вайт листы нормальных смтп серверов
и гугл знает откуда какой адрес имеет право послать письмопс: а дким он не нужен
используйте пиджипи гейты и подписывайте наздоровие
>пс: а дким он не нужен
>используйте пиджипи гейты и подписывайте наздоровиеЯ исходил из соображений того, что нормальный сервер более вероятно пропустит подписанные сообщения, нежели отправит их в СПАМ. PGP требует настройку почтовых клиентов, в случае DKIM пользователи ни о чем не догадываются.
пиджипи гейт не требует клиентской настройки
всё автоматом подписывает (шифрует если надо) и отправляетиспользовал десктопный вариант от пиджипи так он тоже как гейт работает (слушает на портах) и в оутлук встраивать не надо
автоматом подписывает (шифрует) и на оборот
надо только сгенерить ключи и добавить паблик ключи адрессатов
>пиджипи гейт не требует клиентской настройки
>всё автоматом подписывает (шифрует если надо) и отправляет
>
>использовал десктопный вариант от пиджипи так он тоже как гейт работает (слушает
>на портах) и в оутлук встраивать не надо
>автоматом подписывает (шифрует) и на оборот
>надо только сгенерить ключи и добавить паблик ключи адрессатовРуки дойдут, обязательно попробую.