Sonntag, 9. Januar 2011

Mail signiert, und keinen interessierts

Heute im Twitter einen Tweet von Heise gesehen, geklickt, gelesen und, unkritisch wie ich bin, war zehn Minuten später bei mir DKIM installiert und betriebsbereit. Was ist DKIM?

Mit den vier Buchstaben kann man an zentralen Stellen einer Mail-Infrastruktur Mails signieren. Wenn diese dann irgendwo ankommen, kann aufgrund dieser Signatur entschieden werden, ob diese Mail verarbeitet wird, d.h. in der Regel dem Empfänger zugestellt, oder eben nicht.

Neben diesem DKIM gibt es auch noch etwas, das sich SPF nennt. Mit den drei Buchstaben kann man etwas ähnliches machen: ein Mail empfangendes System kann entscheiden, ob das sendende System berechtigt ist Mail für eine Domain, z.B. wie hier dreiischen.de, zu verschicken oder nicht.

Interessiert es jemanden wie es geht? Dann hier ein paar Links (nicht Rechts):
Die Domain dreiischen.de ist jetzt gesichert: durch spf und dkim.

Mail für dreiischen.de läuft über Google Apps. Das SPF-Zeug hatte ich schon länger am laufen. DKIM seit jetzt, denn Google hat das auch für die Basis-Version von Google Apps freigegeben. Wie das bei Google eingerichtet wird, erklärt Google in zwei Artikeln:
Was hab ich nun davon?

Nix! Das ganze Zeuch ist nur eine Krücke. Man versucht Spam und Phishing zu erschweren. Das Übel an der Wurzel zu packen und die ganzen üblen Dreckssäcke davon zu überzeugen, dass sie da ziemlich viele Leute nerven und auch jede Menge Schaden anrichten und sich besser eine andere Tätigkeit suchen um ihr Einkommen zu bestreiten: zu schwierig. Wieder nur ein Versuch ein soziales Problem mit Technik zu bewältigen.

Warum ist es eine Krücke?

Jeder kann unter meiner Adresse von überall auf der Welt Mail verschicken. Sogar an mich. Und obwohl SPF und DKIM eingeschaltet sind, leitet Google solche Mails nicht einfach in meinen SPAM-Folder. Die werden sich hüten! Könnte ja mal eine Mail verloren gegen! Nur, weil ich mich ganz toll auskenne, finde ich irgendwo in irgendwelchen Headern (in einem Brief ist das innen im Umschlag wo keiner genauer hinsieht) einen Hinweis, dass die Mail nicht legal verschickt worden ist:

Received-SPF: fail (google.com: domain of xx@dreiischen.de does not designate 77.xx.xx.xx as permitted sender) client-ip=77.xx.xx.xx;
Authentication-Results: mx.google.com; spf=hardfail (google.com: domain of xx@dreiischen.de does not designate 77.xx.xx.xx as permitted sender) smtp.mail=xx@dreiischen.de

Dass DKIM Header fehlen, ist ganz egal. Wenn sie da sind, muss man sie im Gmail dann auch erst noch suchen: die tauchen erst dann auf, wenn man auf Details klickt. Dann steht da sowas:

Also:

Gesendet von: dreiischen.de (vom spf)
Unterzeichnet von: dreiischen.de (vom dkmi)

Die Header sehen übrigens z.B. so aus:

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
d=dreiischen.de; s=3ischen;
h=domainkey-signature:mime-version:received:received:in-reply-to
:references:date:message-id:subject:from:to:content-type;
bh=DuuxY+iygMTW0/bYFkX654w5HqIneOBVjYj9N5wnTbU=;
b=kzDGaf8Q5hsW5kMSUyeeMl9Sf9syiFRIPmRKA6270e/MypONkzc8hsx1zPPaEVd7GL
hKwmUFuHabnEvCmXxYtuVDRmsenEyNY1V94BUz7tAs5OINeeQ9/9ZRO0ap4gxofKU6XO
GspCypkaN6KPms0XbcWviOavxNaQBwRZWeuLI=
DomainKey-Signature: a=rsa-sha1; c=nofws;
d=dreiischen.de; s=3ischen;
h=mime-version:in-reply-to:references:date:message-id:subject:from:to
:content-type;
b=NfkNk0Rb1w5rMiY2LBdMNLR3jlAtOJe3bVs9FVpTNUae9SgVfSyp29QkGzJEnzXTVw
mZsDG24LiwHWLpoAMhpNb0YXPmsQHeT7yTc7sQRUnDo6To3zQpWa0WvlmPCS0rYFBZ+7
yBiue7bkQ/E9zIupc06OR5+sHfpzq+zzb745I=


Wie die Anzeige im Gmail ist, wenn jemand versucht hat die Header zu fälschen, habe ich jetzt mal nicht versucht.

Und was hab ich jetzt davon?
  1. Die Wahrscheinlichkeit, dass ich, bzw. ein Anwender mit Zugriff auf mein Konto, als Urheber einer Mail identifiziert werden kann ist höher. Wenn demnächst der CIA bei mir vorbeikommt, wird mir das Leugnen schwerer fallen.
  2. Ich kann die ganze Welt auffordern, ihre Mailserver so einzustellen, dass nicht richtig markierte Mails verworfen werden, zumindest aber im Spam-Ordner landen. Da ich selber keinen SPAM veschicke, können nicht signierte Mails dann verworfen werden, und ich habe dann ein ...
  3. Ein gutes Gefühl.
Ja, wenn die Mail-Server so eingerichtet sind, dass sie ausschließlich richtig markierte Mail empfangen, dann kann z.B. den Kindern in einer Schule jeweils ein Mail-Konto in die Hand gedrückt werden. Sie könnten sich gegenseitig Mail zuschicken und Mails von außen nur dann empfangen, wenn der Absender seine Mails signiert und seine Adresse in einer Whitelist aufgeführt ist. Muss noch mal sehen, wo ich auf die Idee gekommen bin - irgendwo hab ich es gelesen. Vielleicht könnte das ja nochmal ein Projekt werden...

1 Kommentar:

  1. > Ich kann die ganze Welt auffordern, ihre Mailserver so einzustellen, dass nicht richtig markierte Mails verworfen werden

    Die Umstellung auf DKIM verläuft zwar etwas schleppend. Aber es ist zu beobachten, dass die Professionalität von ISPs/ESPs mit der Verwendung von DKIM positiv korreliert. Daraus leite ich ab: zu guter Servicequalität gehört der Einsatz von DKIM.

    Um DKIM auf Empfängerseite nutzbar zu machen, haben sich inzwischen einige Domain-Whitelists entwickelt. Selektiv werden Mails gewisser Sender-Signaturdomains zugestellt und damit die False-Positive Rate für signierende Sender reduziert.

    Um DKIM weitergehend nutzbar zu machen, werden im Projekt http://www.dkim-reputation.org Reputationsdaten für Senderdomains / Useraccounts veröffentlicht, und zwar positive wie auch negative.

    Somit läßt sich bspw. Spam von Yahoo!-Spamaccounts gezielt filtern, während gleiches bei reinem IP-Blocking nicht möglich ist.

    Des Weiteren wird spannend, wie sich insbesondere IP-Blacklists in IPv6 Zeiten entwickeln. Gerade unter der Voraussetzung der Zunahme von (mobilen) Endgeräten.
    In der Vergangenheit hat die Filterung aufgrund von Blacklists dominiert, zukünftig könnten Whitelists dominieren (falls der Umfang der Negativeinträge zu umfangreich wird).
    In diesem Zusammenhang auf White-Domainlists zu gehen, statt auf White-IPv6 Adressen halte ich für sinnvoll. Ein weißer Sender möchte schließlich dynamisch sein Netz/Systeme ändern, ohne vorab jede neue IPv6 in einer Whitelist propagieren zu müssen.

    Unter http://www.message-faces.com/developer#image ist übrigens beschrieben, wie über die Übermittlung des Authentication-Results Headers DKIM Prüfergebnisse in Mailclients visualisiert werden können. Ich denke, dass die Visualisierung von DKIM-Signaturen dazu beitragen könnte, die Implementierungsrate von DKIM zu erhöhen.

    AntwortenLöschen