DomainKeys (доменные ключи)
DomainKeys это система проверки почты, которая может использоваться для предотвращения спуфинга (подделка почтового адреса другого человека для того, чтобы представиться другим отправителем сообщения). В дальнейшем, так как большинство сообщений со спамом содержат подменённые адреса, DomainKeys может сильно помочь в сокращении спама, даже не смотря на то, что DomainKeys не была специально разработана как инструмент против спама. Наконец, DomainKeys может также использоваться, чтобы гарантировать целостность поступающих сообщений, или гарантировать, что сообщение не было искажено между моментом отсылки с почтового сервера отправителя и до момента получения вами. Другими словами, с помощью DomainKeys получающий сервер может быть уверен, что полученное сообщение действительно от указанного отправителя и что никто никогда не изменял это сообщения.
Чтобы гарантировать достоверность и целостность сообщений, DomainKeys использует систему, состоящую из пары ключей: открытого и закрытого. Зашифрованный открытый ключ размещается на сервере DNS отправителя, и затем каждое исходящее сообщение подписывается сервером, используя соответствующий шифрованный закрытый ключ. Для входящих сообщений, когда принимающий сервер видит, что сообщение было подписано, он получает открытый ключ на DNS сервере отправителя и затем сравнивает этот ключ с подписью DomainKeys сообщения, чтобы определить его достоверность. Если входящее сообщение не прошло проверку, то получающий сервер знает, что в этом сообщении подменён адрес или оно было повреждено или изменено. Не прошедшее проверку сообщение может быть отклонено, или оно может быть принято, но с соответствующей пометкой о спаме.
Чтобы настроить MDaemon на проверку входящих сообщений, подписанных доменными ключами, используйте опции, предоставленные на закладке DomainKeys Verification, расположенной в SecuritySPF/DomainKeys. Чтобы настроить MDaemon подписывать исходящие сообщения, используйте опции, предоставленные на закладке DomainKeys Signing того же диалогового окна. Главный интерфейс MDaemon включает в себя закладку DomainKeys (расположенную под закладкой Mail), которая может быть использована для отслеживания работы DamainKeys в режиме реального времени, и вы можете, при помощи опции, расположенной в SetupLoggingOptions, записывать в журнал действия DomainKeys.
Больше о DomainKeys вы можете узнать на сайте http://antispam.yahoo.com/domainkeys.
Используйте эту закладку, чтобы сконфигурировать MDaemon на просмотр подписей DomainKeys в удалённых входящих сообщениях и чтобы он пытался проверить эти подписи, если нашёл. Если входящее сообщение было подписано, MDaemon получит открытый ключ на DNS сервере отправителя и затем использует этот ключ, чтобы проверить подпись DomainKeys сообщения для определения его достоверности. Если проверка подписи вернула результат «Fail», то MDaemon получит политику DomainKeys для посылающего сервера. Если проверка политики покажет, что DomainKeys установлены не в тестовом режиме, то сообщение может быть категорически отклонено или принято, но его рейтинг спама будет повышен. Если сообщение не подписано, то MDaemon всё равно получит политику DomainKeys для посылающего домена, чтобы определить, должны ли быть подписаны все сообщения от этого домена и не тестовый ли это режим. Если домен не тестирует DomainKeys, и выяснится, что все сообщения должны быть подписаны, то сообщения получат результат «Fail» и будут обработаны соответственно. Если сообщение не подписано и записи DNS домена не содержат политики DomainKeys, то сообщение будет обработано стандартным образом, как если бы система DomainKeys не использовалась. Сообщения, которые получили результат «Pass» продолжат нормальную обработку и их рейтинг спама будет скорректирован соответственно.
Проверка DomainKeys
Perform DomainKeys processing on incoming messages
Отметьте этот флажок, чтобы включить проверку DomainKeys для входящих удалённых сообщений.
send 550 error code
Если этот флажок отмечен, и проверка DomainKeys вернула результат «Fail», то MDaemon вернёт код ошибки 550, и будет отклонять сообщение во время сеанса SMTP, за исключением ситуации, когда политика DomainKeys посылающего домена укажет на то, что DomainKeys находится в тестовом режиме. Если политика домена укажет, что DomainKeys тестируется, то сообщение будет обработано как обычно.
and then close the connection
Отметьте этот флажок, если хотите закрывать соединение к посылающему серверу, когда проверка DomainKeys для сообщения вернула результат «Fail» и сообщение отклонено в соответствии с предыдущей опцией. Если этот флажок не отмечен, то сообщение всё равно будет отклонено в соответствие с предыдущей опцией, но соединение не будет прервано.
Add this to the Spam Filter score for PASS result
Значение, указанное здесь, будет вычтено из рейтинга спама каждого подписанного DomainKeys сообщения, получившего результат «Pass».
Add this to the Spam Filter score for FAIL result
Значение, указанное здесь, будет добавлено к рейтингу спама каждого подписанного DomainKeys сообщения, получившего результат «Fail», когда опция «send 550 error code», указанная выше, выключена и политика DomainKeys отсылающего домена не указывает на то, что DomainKeys тестируется. Если политика DomainKeys сайта говорит о тестировании, то неудачная проверка DomainKeys в любом случае не повлияет на рейтинг спама.
Authenticated sessions exempt form DomainKeys
Отметьте этот флажок, если хотите освободить сообщения от проверки DomainKeys, когда сеанс сообщения авторизован через AUTH, POP перед SMTP, или IP защиту.
White list
Нажмите эту кнопку, чтобы открыть список исключений DomainKeys. Сообщения, пришедшие с любого IP адреса, указанного в списке, не будут объектом для проверки DomainKeys.
Connections from Trusted IPs are exempt form DomainKeys
Отметьте этот флажок, если хотите, чтобы соединения с доверенных IP адресов освобождались от проверки DomainKeys.
Cache DomainKeys results
Отметьте этот флажок, если хотите кэшировать информацию о DomainKeys, найденную во время DNS поиска. Временно кэшируя информацию о DomainKeys, содержащуюся в записях DNS домена, вы можете улучшить эффективность обработки сообщений, подписанных DomainKeys, которые придут в ближайшем будущем с одного и того же домена.
Cache
Эта кнопка открывает кэш DomainKeys. Если расположенный выше флажок Cache DomainKeys results отмечен, то в этом файле будет содержаться кэшируемая в настоящее время информация.
Заголовок Authentication-Results
Всякий раз, когда сообщение авторизуется при помощи SMTP AUTH, SPF, или DomainKeys, MDaemon будет вставлять в сообщение заголовок Authentication-Results, в котором будут перечислены результаты процесса авторизации. Если MDaemon настроен на приём сообщений, даже если они не прошли авторизацию, то заголовок Authentication-Results будет содержать код для определения причины отказа в авторизации. Ниже указаны результирующие коды для DomainKeys:
good У сообщения есть подпись, проверка прошла и подпись проверена. Сообщение прошло.
bad У сообщения есть подпись, проверка прошла, но подпись проверку не прошла. Сообщение не прошло.
no signature Сообщение не содержит подписи DomainKeys.
no key У сообщения есть подпись, но на указанном DNS нет публичного ключа.
bad key У сообщения есть подпись, и публичный ключ существует, но этот ключ имеет неправильный формат.
internal err Случилась неизвестная внутренняя ошибка обработки.
bad format Сообщение или параметры подписи имеют неправильный формат или используют непригодный синтаксис.
no resources Попытка выделить память или место на диске потерпела неудачу.
revoked У сообщения есть подпись, но публичный ключ аннулирован.
file error Код проверки не может получить доступ, найти или открыть файл с сообщением.
Используйте опции, находящиеся на закладке DomainKeys Signing, чтобы указать, должны ли подписываться исходящие сообщения и определить, какие сообщения должны быть подписаны. Также, вы можете использовать эту закладку, чтобы определить селекторы и создать соответствующие публичные и личные ключи, годные для использования в соответствие со спецификацией DomainKeys. Селектор по умолчанию («MDaemon») и публичный и личный ключи по умолчанию автоматически создаются для вас при запуске. Все ключи уникальны они никогда не повторяются для двух сайтов, не зависимо от выбранного селектора. По умолчанию, ключи создаются с безопасной битовой глубиной в 1024 бита.
Подпись DomainKeys
Sign outgoing messages
Отметьте этот флажок, если хотите, чтобы MDaemon подписывал некоторые исходящие сообщения. Чтобы сообщение могло быть подписано: оно должно отвечать критериям, определённым под кнопкой Define which messages are eligible for signing, оно должно быть адресовано не локальному адресу, и MDaemon должен получить это сообщения для доставки в процессе авторизованного сеанса через SMTP AUTH. Списки рассылки никогда не подписываются. Также, в фильтре содержимого имеется действие «Sign with DomainKeys selector», которое может быть использовано для подписи сообщений.
Sign using this selector
Из выпадающего списка выберите селектор, который соответствует паре публичного и личного ключей, который будет использовать MDaemon для подписи сообщений. Если вы хотите создать новую пару ключей для другого селектора, то напишите в этом поле имя необходимого селектора и нажмите кнопку «Create new public and private keys», расположенную ниже. Если вы хотите, чтобы некоторые сообщения подписывались при помощи альтернативного селектора, то создайте в фильтре содержимого правило, использующее действие «Sign with DomainKeys selector».
Create new public and private keys
Нажмите эту кнопку, чтобы создать публичную и приватную пару ключей для селектора, указанного выше. Для селектора будет создана публичная/личная пара ключей, и будет создан и автоматически открыт файл dns_readme.txt. Этот файл содержит пример данных DomainKeys, которые необходимы для публикации в вашем списке записей доменного DNS вашей политики DomainKeys и публичного ключа для назначенного селектора. В файле перечисляются примеры, как для тестового, так и для реального статуса, а также, подписываете ли вы все сообщения, отсылаемые с вашего домена, или только некоторые. Если сейчас вы тестируете DomainKeys или этот селектор, то вам нужно использовать информацию, содержащуюся в тестовых элементах или для политики, или для селектора, в зависимости от того, что вы тестируете. В противном случае, вы должны использовать элементы, предназначенные не для тестирования.
Все ключи сохраняются в формате PEM , и все селекторы и ключи сохраняются в папке \MDaemon\Pem\ в следующем виде:
\MDaemon\Pem\<Селектор>\rsa.public публичный ключ для этого селектора
\MDaemon\Pem\<Селектор>\rsa.private личный ключ для этого селектора
Define which messages are eligible for signing
Если вы отметили флажок на опции sign outgoing messages, указанной выше, то нажмите на эту кнопку, чтобы открыть список доменов и адресов, которые MDaemon будет использовать для определения, должно ли сообщение быть подписано. Для каждого перечисленного адреса вам также необходимо указать, должно ли подписываемое сообщение приходить на этот адрес или отправляться с него. Разрешены групповые символы (* и ?).
Перевод документации осуществлен силами компании Red Line Software
