Переход:  Безопасность > Параметры безопасности > Проверка подлинности отправителя > DomainKeys Identified Mail >

Верификация DKIM

Печать этого раздела Пред. страницаК началу разделаCлед. страница

Эта вкладка служит для настройки параметров верификации электронных подписей DomainKeys (DK) и/или DomainKeys Identified Mail (DKIM) во входящих внешних сообщениях. Если эта функция включена, то при получении сообщения с электронной подписью MDaemon запрашивает DNS-запись с открытым ключом сервера, указанного в подписи DK/DKIM, а затем использует этот ключ для проверки правомочности электронной подписи в данном сообщении.

Если подпись DK/DKIM проходит верификацию, сообщение поступает на следующий этап обычного процесса доставки. Кроме того, если домен, указанный в подписи, также присутствует в одобренном списке, спам-рейтинг такого сообщения понижается.

Если сообщение не подписано или подпись недействительна, MDaemon запрашивает запись Author Domain Signing Practices (ADSP) домена-отправителя, указанного в заголовке From, чтобы определить, должны ли все сообщения этого домена содержать электронную подпись. Если запись ADSP указывает, что наличие действующей подписи обязательно, а открытый ключ указывает на то, что подписывающая сторона использует DKIM не в режиме тестирования, такое сообщение получает результат проверки “Fail” и обрабатывается соответствующим образом — либо отклоняется совсем, либо принимается, но его спам-рейтинг повышается.

И наконец, если в ADSP-записи домена используется неизвестный MDaemon'у синтаксис, либо такая запись отсутствует или ADSP-опция на вкладке Опции DKIM отключена, никакие действия в отношении письма не принимаются. При получении неподписанного или неверно подписанного сообщения MDaemon считает, что домен-отправитель подписывает не все свои сообщения.

Для получения дополнительной информации о стандарте DKIM, см: http://www.dkim.org/

Верификация DKIM/DomainKeys

Верифицировать подписи DomainKeys

Эта опция включает проверку подписей DomainKeys в сообщениях, приходящих с удаленных серверов.

Верифицировать подписи DKIM (DomainKeys Identified Mail)

Эта опция включает проверку подписей DomainKeys Identified Mail в сообщениях, приходящих с удаленных серверов. Если вы включили в MDaemon верификацию подписей DKIM и DK, а некоторое сообщение содержит подписи обоих типов, то при успешном прохождении проверки подписи DKIM проверка подписи DK не производится. Эта опция должна быть включена, чтобы пакет SecurityPlus для MDaemon мог получать срочные обновления .

Итоги верификации

Письма без обязательной действующей подписи:

Указанные ниже штрафные санкции могут быть применены к сообщениями только в том случае, если на вкладке Опции DKIM Options включена опция Author Domain Signing Practices (ADSP). Если опция ADSP отключена, то, независимо от сделанных здесь настроек, результаты верификации DKIM не приведут к отклонению сообщений или повышению их спам-рейтинга.

. . . отправлять код ошибки 550

Если запись ADSP показывает, что наличие действительной подписи обязательно, то все сообщения без такой подписи будут отклоняться — MDaemon вернет код 550 и отклонит сообщение во время SMTP-сеанса. Если же открытый ключ отправителя показывает, что механизм DK/DKIM у отправителя находится в режиме тестирования, сообщение будет обработано в обычном порядке.

...и затем прервать соединение

Включите эту опцию, если вы хотите разрывать сеанс после выполнения действия, указанного в описании предыдущей опции. Если эта опция отключена, сообщение все равно будет отклонено в соответствии с настройками предыдущей опции, но соединение будет продолжено.

…добавляет столько к очкам Фильтра Спама

Если запись ADSP отправителя показывает, что наличие действующей подписи обязательно, все сообщения без такой подписи получат указанное количество баллов к своему спам-рейтингу. Если же вы включили выше опцию "…отправлять код ошибки 550", сообщение будет отклонено, как неверное, а проверка в Фильтре спама не будет выполнена вообще. В любом случае, если открытый ключ отправителя показывает, что домен работает в режиме тестирования, никаких действий предпринято не будет — спам-рейтинг останется неизменным.

При использовании этих опций некоторые сообщения все равно будут отклонены, если итоговый спам-рейтинг превысит пороговое значение для отклонения писем в SMTP-сессиях, установленный на вкладке Спам-фильтр.

Письма с действующей подписью из домена, внесенного в список 'Одобренных':

…добавляет столько к очкам Фильтра Спама

Здесь указывается количество баллов, прибавляемых к спам-рейтингу сообщения, которое успешно прошло проверку подписи DK или DKIM (верификация с результатом Pass), если указанный в подписи домен присутствует на вкладке Одобренный список. Если подпись сообщения успешно прошла верификацию, но домен не присутствует в списке одобренных, спам-рейтинг сообщения не изменится. Тем не менее, к этому сообщению будет применена обычная проверка в Фильтре спама и присвоение спам-рейтинга.

Обычно в этом поле указывается отрицательное значение для понижения спам-рейтинга сообщений, если указанный в подписи домен находится в списке одобренных. По умолчанию значение этого параметра составляет -0.5.

Опции верификации

Не верифицировать сообщения, переданные в авторизованных сессиях

Эта опция освобождает от криптографической верификации сообщения, отправители которых прошли проверку подлинности с использованием функций SMTP авторизации, POP перед SMTP или Защита по группе IP-адресов.

Соединения от Разрешенных IP исключаются из криптографической верификации

Эта опция освобождает от криптографической верификации сообщения, отправляемых с доверенных IP-адресов.

Кэшировать результаты верификации

Эта опция включает кэширование результатов DNS-запросов на получение данных DK/DKIM. Кэширование сокращает время обработки сообщений с электронной подписью DK/DKIM, приходящих с одних и тех же доменов.

Кэшировать

Кнопка вызова окна просмотра и редактирования кэша DomainKeys. При использовании указанной выше опции Кэшировать результаты верификации, в файле кэша будет содержаться вся запасенная на текущий момент информация.

Белый список

Нажмите эту кнопку, чтобы открыть список исключений. Этот список позволяет задать IP-адреса, сообщения с которых будут освобождаться от криптографической верификации.

Заголовок Authentication-Results

Каждый раз, когда письмо обрабатывается средствами аутентификации SMTP AUTH, SPF, DomainKeys или DomainKeys Identified Mail, сервер MDaemon вставляет в него специальный заголовок Authentication-Results, который содержит результаты проведенной проверки. Если ваш почтовый сервер принимает неаутентифицированные сообщения, эти заголовки помогут установить причину, по которой не удалось установить подлинность письма.

Организация IETF (Internet Engineering Task Force) еще продолжает работу над форматом этого заголовка и упомянутыми в данном разделе протоколами аутентификации. Дополнительные сведения об этой работе можно найти на сайте IETF по адресу: http://www.ietf.org/.

Заголовки DK/DKIM в сообщениях списков рассылки

По умолчанию MDaemon удаляет подписи DK/DKIM из входящих сообщений списков рассылки, поскольку заголовки и содержание этих сообщений зачастую модифицируются в процессе доставки таким образом, что электронные подписи становятся недействительными. Если вы хотите сохранять электронные подписи в таких сообщениях, измените значение следующего параметра в файле MDaemon.ini как указано ниже:

[DomainKeys]

StripSigsFromListMail=No (default is "Yes")

 

См. также:

DomainKeys Identified Mail

DKIM-подписи

Опции DKIM