>>>>> Eugene Berdnikov <b...@protva.ru> writes: >>>>> On Wed, Oct 04, 2017 at 05:25:26PM +0000, Ivan Shmakov wrote: >>>>> Eugene Berdnikov <b...@protva.ru> writes: >
>>> По моему скромному мнению, для рассылок следует ограничиться >>> подписью заголовков From, To, Cc, Date и Message-Id, плюс, >>> возможно, Reply-To, In-Reply-To и References. >> Задача определения, идет ли письмо в рассылку или нет, не кажется >> мне тривиальной. > Ну и решать её незачем. Просто не нужно тянуть в подпись разный > мусор, тогда везде будет меньше проблем, в том числе в рассылках. «Мусор» не нужно тянуть в заголовок вовсе. Вот только не уверен, что это относится к, e. g., List-*. >>> При этом не следует подписывать тело (body). >> Прошу прощения? Другими словами, предоставить злоумышленнику >> возможность отправить условный «$$$ make money fast $$$» с моим >> заголовком и /действительной/ подписью моего MTA? > Злоумышленник будет больше озадачен тем, как подделать обратный адрес > на транспортном уровне, т. е. в envelope_from. Потому как MTA именно > его обычно проверяют — применяют SPF, грейлистинг и т. д. А в чем собственно проблема? Вот как раз год назад стал я получать нежелательную корреспонденцию со всяческих cameraforme.ru, network-asp.ru, lambdafsu.ru, …, school38.bid, etc. — со вполне себе действительными SPF. И, к слову, DKIM. [1] [1] news:87vax8xfdm....@violet.siamics.net SPF? DKIM? spammers can do them too // news:comp.mail.misc > А те, кто ведётся на «make money fast», они не только про DKIM ничего > не слышали, они вообще не догадываются, что в письме может быть > какая-то ложь. :) Разве это важно? Если десять пользователей узла отметят письма с @abuse.example.invalid как spam, то можно надеяться, что автоклассификатор отметит корреспонденцию с того же домена следующим ста самостоятельно. Другое дело, что узлам с тремя пользователями (или же без работающих автоклассификаторов) извлечь пользу из DKIM уже ощутимо сложнее. Или? […] >> Если рассылка вносит сколь угодно существенные изменения, я так >> думаю, ее администратор уже вполне может взять на себя >> ответственность за распространение пересылаемых сообщений и >> настроить их подписывание ключом своего узла. > Достаточно просто снести нахрен все заголовки DKIM из входящего > письма перед форвардом в рассылку. Есть подозрение, что отсутствие DKIM-подписей может идти вразрез с рекомендациями некоторых популярных почтовых служб. А значит такое поведение чревато массовым попаданием сообщений в Spam. (Из-за чего я и озадачился поддержкой DKIM, IIRC.) А значит необходимо либо сохранять исходную подпись (что, в свою очередь, предполагает достаточно консервативный подход к правке транзитных сообщений), либо озаботиться созданием собственной подписи (и со спокойной совестью добавлять [LIST] в Subject:, «unsubscribe» в тело, не говоря уже о рекламе…) > Но мы ведь сейчас обсуждаем что делать если админ шлюза даже этим не > озаботился. В свое время, администраторы рассылки по SWI Prolog не справились с DKIM. В итоге, оная стала «группой Google.» -- FSF associate member #7257 np. Absolution — Makkon 7D17 4A59 6A21 3D97 6DDB