DKIM verify
Når DKIM laver et verify, kontrollere den så om der findes en public key i DNS til denne mail, eller gør den det kun hvis der findes en key i selve mail headeren?
Jeg tænker på, hvis f.eks. example.com benytter DKIM, og en afsender prøver at spoofe, og sender en e-mail "fra" user1@example.com, og mailen så ikke er signet, så skulle det jo gerne være sådanne en den kontrollere om der findes en public DKIM key til example.com uanset, og så lave et deny på denne hvis der enten ikke er nogen key i headeren, eller hvis keyen ikke matcher.
Jeg tænker på, hvis f.eks. example.com benytter DKIM, og en afsender prøver at spoofe, og sender en e-mail "fra" user1@example.com, og mailen så ikke er signet, så skulle det jo gerne være sådanne en den kontrollere om der findes en public DKIM key til example.com uanset, og så lave et deny på denne hvis der enten ikke er nogen key i headeren, eller hvis keyen ikke matcher.
Kommentarer1
Mine bange anelser, viste
Jeg prøvet at sende en fakemail der ser ud til at komme fra en gmail, denne kommer nu ind, som en mail uden signatur.
(gmail signer sine e-mails, når de kommer fra den rigtige afsender)
Hvis man skal undgå dette, skal man blokere for mails der ikke har signatur på sig, hvilket vil sige RIGTiG RIGTIG mange mail vil blive blokeret, og det er virkelig uholdbart. Så fakemails ryger stadig lige igennem systemet. øv.