Am 14.09.2014 um 09:04 schrieb Joachim Fahrner:
Am Samstag, den 13.09.2014, 18:10 +0200 schrieb lst_hoe02@kwsoft.de:
SPF/DMARC/DKIM nutzen nur "indirekt" bei der Spamabwehr, sie verhindern im "guenstigsten" Fall die "Faelschung" von Absender Adressen, was logischerweise auch in einigen Faellen die Einlieferung von SPAM verhindern kann.
Ein wenig "S/MIME light" in meinen Augen.
Ich will keine Erbsenzaehlen , aber ich teile dies Meinung nicht DKIM ist ein Identifikationsprotokoll, smime ein ist ein Standard für die Verschlüsselung ( der zur Zeit nur sinnvoll in Zusammenarbeit mit einer Zertifizierungsstelle anwendbar und meist kostenpflichtig ist, die Sicherheit von Zertifizierungsstellen ist nicht unbedingt gewaehrleistet, es wird ein Mailprogramm benoetigt das smime unterstuetzt ) , zusaetzlich benoetigt DKIM nur das DNS ( ist im Normalfall umsonst und wenn DNSSEC verwendet wird auch sicher, wobei DNSSEC aber nicht zwingend ist ) und hat nicht die Schwaechen von SPF ( bricht evtl Forwarding ) Dass beide Loesungen sich evtl in Teilgebieten ueberschneiden rechtfertigt kaum die Bezeichnung "light".
Zukuenftig wird man wohl Smime Zertifikate auch ueber das DNS ausliefern koennen
https://tools.ietf.org/html/draft-ietf-dane-smime-07
Man muss aber alle Loesungen immer in ihrem zeitlichen Kontext sehen. und alle haben/hatten eine Existenzberechtigung.
Leider wird es immer wieder
als Spam-Bremse beworben was dann soweit führt das Domains ohne SPF Records als verdächtig gelten.
SPF wurde von Microsoft gepushed, es war schon am Anfang klar dass es damit Probleme geben wird. Warum grosse Freemailer es noch zur Klassifizierung heranziehen entzieht sich meiner Kenntnis, vermutlich aus Hilflosigkeit oder aus der Philosophie heraus jeder zusaetzliche Klassifizierungs Parameter sei hilfreich.
Ich hab mir mal das DKIM durchgelesen und sehe das ähnlich wie Andi, nämlich als ein "S/MIME light". Der Vorteil erschliesst sich mir nicht. Im Gegensatz zu S/MIME sehe ich bei DKIM im MUA nicht ob eine Mail eine gültige Signatur hat.
schau in den header , und oder z.b
https://sys4.de/de/blog/2013/11/14/thunderbird-add-dkim-verifier/
Zudem kann ich nicht festellen ob eine Domain
überhaupt mit DKIM arbeitet (z.B. paypal.com), da ich für die DNS-Abfrage einen Selektor benötige, den ich nicht kenne ohne zuvor eine Mail von der Domain erhalten zu haben. Für mich wäre es aber interressant zu wissen, ob meine Bank mit DKIM signiert oder nicht.
Zunaechst koenntest du deine Bank ja fragen, ansonsten kann sich der der key oder selector Name ja nahezu beliebig oft aendern, enscheident ist dass das Identifikationsprotokoll funktioniert.
Zur Spamabwehr taugt DKIM nicht, da heutzutage der Absender bei Spam selten verschleiert wird.
Sorry deine Einschaetzung ist subjektiv, was auf deine Domains zutrifft gilt nicht allgemein.
Interressanter wäre es bei Phishing, aber dazu
müsste ich wissen ob meine Partner (Paypal, Bank, etc.) ihre Mails auch mit DKIM signieren, denn nur dann kann ich mich drauf verlassen. Im MUA sehe ich das ja nicht. Da ist mir S/MIME sympathischer, denn da sehe ich das im MUA.
Sympathie ist eine "menschliche" Groesse, ich wuerde sagen der Vergleich an sich "hinkt", Aepfel und Birnen usw
Zudem scheint DKIM auch nichts anderes als SPF zu sein, außer dass noch verifiziert werden kann ob die Mail unterwegs verändert wurde. Für das was DKIM leistet scheint mir auch SPF ausreichend zu sein,
Def ist das nicht so
zudem ist SPF
transparenter für mich, da ich leichter feststellen kann ob eine Domain das hat oder nicht.
SPF ist nach meiner letzen Umfrage bei Spamassassin schon fast ein positiver Trigger fuer SPAM Versender, Dkim hat viel weitreichender Moeglichkeiten, z.B div Keys fuer div Mailadressen
Wo ist also der Nutzen von DKIM?
wenn etwas im Prinzip ueberfluessig ist , ist es eher SPF ansonsten sind DKIM und smime verschiedene Dinge
Das es da Ueberlappungen "beim/fuer" Endverbraucher geben mag, klassifiziert keiner der beiden Anwendungen als ueberfluessig
wenn du den Unterschied genau wissen willst dann lies dir die RFCs dazu durch
postfix-users mailing list postfix-users@de.postfix.org http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
Best Regards MfG Robert Schetterer