Milan Kryl

Kryl Blog - RSS

DomainKeys již i v Gmailu

23. 10. 2004 - 10:32

Gmail se po Yahoo Mailu zapojil do používání DomainKeys. Technologie, která zabrání rozšiřování nevyžádané pošty a stejně tak potvrzuje, že byla emailová zpráva odeslána z domény, z které tvrdí. Princip spočívá v zapojení privátního a veřejného klíče do komunikace podepisováním odchozích zpráv.

Jak funguje odesílání

Pro zaslání podepsané emailové zprávy jsou třeba dva základní kroky:

  • nastavení serveru - vygenerování privátního a veřejného klíče, vystavení veřejného klíče v DNS.
  • podpis emailu - za pomoci privátního klíče se podepíše odchozí zpráva (do hlavičky se přidá část DomainKey-Signature:)

Jak funguje ověření emailu

Pošta chodí stejnou cestou, jen při jejím přijetí je třeba ověřit digitální podpis.

  • příprava - rozbalení části DomainKey-Signature: z hlavičky a získání veřejného klíče z DNS.
  • ověření - veřejný klíč potvrdí, zda byl k podpisu použit privátní klíč odesílatele a zpráva nebyla modifikována při přenosu.
  • doručení - pokud nenastaly žádné problémy a email projde antivirovou kontrolou, může být doručena do schránky uživatele.

DomainKeys zabraňují spamerům v odesílání emailů z podvržených adres. Protože neznají privátní klíč serveru, tak nemohou zprávu korektně podepsat. Zprávy, které budou používat doménové klíče, může emailový klient zvýhodnit před běžnou poštou. A po rozšíření tohoto systému se budou nepodepsané zprávy jednoduše ignorovat.

Ukázka hlavičky potvrzeného emailu

K ověření toho, zda Gmail již používá podepisování emailů, stačí zobrazit hlavičku zprávy a najít správný řádek.

DomainKey-Signature: a=rsa-sha1; q=dns; c=nofws;
  s=beta; d=gmail.com;
  h=received:message-id:date:from:reply-to:to:\
subject:mime-version:content-type:content-transfer-encoding;
  b=CoGMricWJPSZzJmOD4Nksa6nNOtWCfL .. HxEago28cJybwSNwo4IvBvuH/MkwjI=

Malý problém pro uživatele

Jediný problém bych viděl v tom, že bude třeba emaily odesílat pouze přes server, který emailovou schránku provozuje. Odeslání pošty přes server poskytovatele připojení (jak se u nás ve většině případů děje) již podpis nabízet nemůže. Je třeba privátního klíče, který už daný SMTP server nemá. Případné získání privátního klíče od serveru vašeho emailu nepřipadá v úvahu.

Podpory se již těší nejčastěji používaní přenosový klienti (MTA) Sendmail i Qmail.

Související:

 

Tip: Krátké zprávy a zajímavosti (rychlý přístup https://kryl.info/kratce)

Související