Что: 0486c98e557b60ff890cf73a359ac8aa45f5630f
Когда: 2024-01-11 18:03:04+03:00
Темы: crypto go mail
Смена OpenDKIM на go-msgauth/cmd/dkim-milter https://habr.com/ru/news/785486/ https://datatracker.ietf.org/doc/html/rfc8463 https://github.com/emersion/go-msgauth Gmail и Yahoo скоро будут в обязательном порядке требовать наличие DKIM, SPF и DMARC. Это всё у меня уже давно настроено, но решил посмотреть снова так ли это. Увидел, что ещё в 2018-ом стандартизовали (RFC) ed25519 алгоритм для всего этого DKIM дела. Но OpenDKIM не поддерживает этот алгоритм. Нашёлся вот на Go go-msgauth, поддерживающий ed25519, в котором утилиты и для генерирования ключей и для работы в качестве почтового milter-а. Без проблем подружился с Postfix, где я просто адрес milter указал на Unix-сокет. Чтобы сокет был с нужными правами, то проще всего было запустить его под setuidgid утилитой, сразу же сделав daemontools службой. И перезапуск сразу будет при падении и ловля логов. Сам milter и проверять сообщения умеет, вставляя Authentication-Results заголовок с результатами проверки каждой DKIM подписи. Куда приятнее его использовать чем OpenDKIM ещё и с отдельным конфигом. В курсе что ed25519 Gmail проверять не умеет. Но они и TLS сертификаты с ним не принимают. Идут в жопу. Как внедрять очередную корпоративную херню ради "блага, experience, приватности и безопасности пользователей о которых заботимся", то мигом с следующей минорной версии любого их софта, а как добавить поддержку вменяемых (относительно RSA) алгоритмов, то тормозят, хотя *25519 куда проще реализовывать чем любые RSA или ECDSA (и давно реализации на любых языках имеются).
Сгенерирован: SGBlog 0.34.0