Смена OpenDKIM на go-msgauth/cmd/dkim-milter

Что: 0486c98e557b60ff890cf73a359ac8aa45f5630f

Когда: 2024-01-11 18:03:04+03:00

Темы: crypto go mail

Смена OpenDKIM на go-msgauth/cmd/dkim-milter

https://habr.com/ru/news/785486/
https://datatracker.ietf.org/doc/html/rfc8463
https://github.com/emersion/go-msgauth
Gmail и Yahoo скоро будут в обязательном порядке требовать наличие DKIM,
SPF и DMARC. Это всё у меня уже давно настроено, но решил посмотреть снова
так ли это. Увидел, что ещё в 2018-ом стандартизовали (RFC) ed25519
алгоритм для всего этого DKIM дела. Но OpenDKIM не поддерживает этот
алгоритм.

Нашёлся вот на Go go-msgauth, поддерживающий ed25519, в котором утилиты
и для генерирования ключей и для работы в качестве почтового milter-а.
Без проблем подружился с Postfix, где я просто адрес milter указал на
Unix-сокет. Чтобы сокет был с нужными правами, то проще всего было
запустить его под setuidgid утилитой, сразу же сделав daemontools
службой. И перезапуск сразу будет при падении и ловля логов. Сам milter
и проверять сообщения умеет, вставляя Authentication-Results заголовок
с результатами проверки каждой DKIM подписи. Куда приятнее его
использовать чем OpenDKIM ещё и с отдельным конфигом.

В курсе что ed25519 Gmail проверять не умеет. Но они и TLS сертификаты с
ним не принимают. Идут в жопу. Как внедрять очередную корпоративную
херню ради "блага, experience, приватности и безопасности пользователей
о которых заботимся", то мигом с следующей минорной версии любого их
софта, а как добавить поддержку вменяемых (относительно RSA) алгоритмов,
то тормозят, хотя *25519 куда проще реализовывать чем любые RSA или
ECDSA (и давно реализации на любых языках имеются).

оставить комментарий

Сгенерирован: SGBlog 0.34.0