[AKTUALIZACJA 2016-04-15] Dopisanie allegro do listy domen.
[AKTUALIZACJA 2017-03-12] Dopisanie payu.pl do listy domen
Poruszany był kilka razy podpis elektroniczny DKIM. Broni on przed poszywaniem się pod serwis jak i przed spamem. Zasady działania i jak skonfigurować znajdują sie w tym wpisie. SA potrafi sprawdzać poprawność DKIMu (programy pocztowe również). Ale skąd system ma wiedzieć, że powinien wystąpić podpis? Sprawdzanie każdej domeny nie jest sensowne. Trzeba stworzyć bazę domen. Najprościej użyc do tego Spamassassina, niech wykonuje pracę:) Można sprawdzać nagłówki w mailu ale zawsze jest to jakiś problem. Każdy program inaczej je generuje i wtedy będzie coś źle działać.
Włączamy DKIM w SA
Tu sprawa jest prosta. W systemach odDebianowych w pliku /etc/spamassassin/v312.pcre należy odhashowac linię
loadplugin Mail::SpamAssassin::Plugin::DKIM
I system włączy sprawdzanie DKIM.
Reguła do sprawdzania
Najpierw reguła potem omówienie.
ifplugin Mail::SpamAssassin::Plugin::DKIM header __LOCAL_DOMAIN_MUST_HAVE_DKIM_FROM from:addr=~/\@(payu.pl|yahoo\.com|firma\.interia\.pl|facebookmail\.com|visa\.com|olx\.pl|interia\.pl|interia\.eu|wp\.pl|gmail\.com|pl\.orange\.com|sodexo\.com|poczta-polska\.pl|allegro\.pl)$/ meta LOCAL_DOMAIN_MUST_HAVE_DKIM __LOCAL_DOMAIN_MUST_HAVE_DKIM_FROM && !DKIM_SIGNED && !DKIM_VALID score LOCAL_DOMAIN_MUST_HAVE_DKIM 5 endif
Ifplugin i endif sprawdzają, czy reguła jest włączona. Jeśli z jakiegoś powodu wyłączymy ja nie będzie fałszywych sygnałow. DKIM_SIGNED sprawdza czy wystapił podpis a DKIM_VALID czy jest prawidłowy podpis. Tak wiem, że jak nie ma DKIM_SIGNED nie może być DKIM_VALID ale tak na wszelki wypadek:) Nie ma serwisów onetowych bo podpisują część wiadomości
Lista domen
Skąd się wzieła? Otóz sprawdzałem w których domenach występuje DKIM_SIGNED i tak została stworzona. Jako bonus llista polskich domen z DKIMem a tu lista wszystkich domen z DKIMem Lista oczywiście z domen które przechwyciłem.. Co do listy w regule to każdy może oczywiście dodać jakieś inne domeny. Jak przeoczyłem jakąś ważna domenę dajcie znać.
False positive
Niestety nie obędzie bez zgrzytu. Wyłapałem kilak niby prawidlowych maili które łapały się na ta regułę. Sa to dziwne newslettery i ktoś wpadł na genialny pomysł aby rozsyłaćje z adresem zwrotnym gmail ale jednak nie przez ich serwery.A potem zdziwienie ze skuteczność rozsyłki słaba:)
Osobiście to mam już trochę dosyć głupoty i ignorancji nie których administratorów zdawało by się znanych firm. Dzisiaj na przykład wysłałem kolejnego maila do plus GSM, których wiadomości zawsze trafiają mi do spamu. Nieprawidłowy podpis DKIM, marketingowe treści, masa niepotrzebnych wytłuszczeń, inna domena adresu wysyłki, a faktyczna serwera z jakiej został wysłany itp. itd. to tylko wycinek ich wiadomości.
Kolejna sprawa, że do tej polskiej listy z DKIM możesz dodać i moją domenę oduk.pl.
Dopisalem