DKIM & Skynet.be

[Briolet]

Ik heb er al een jaar last van de alle mail van het skynet.be domein bounced vanwege een ongeldige DKIM. Ik heb twee belgische contacten met zo'n adres, die de mail steeds naar mijn andere mail adres moeten sturen die niet via de nas loopt. Heel vervelend omdat een reply door hun op mijn mail standaard wel naar mijn nas gaat.

Andere sites die DKIM controleren laten de mail wel door want anders had skynet.be nooit mail kunnen versturen. Na wat gespit van vandaag, zie ik dat het aan de sleutellengte ligt die skynet gebruikt. Als ik de publieke sleutel van Skynet opvraag, zie ik aan de lengte dat dit een 512 bits sleutel is:

$ host -t txt securemail._domainkey.skynet.be
securemail._domainkey.skynet.be descriptive text "k=rsa\; p=MFwwDQYJKoZIhvcNAQEBBQADSwAwSAJBANPjDVQaBU+0udPrCcoF2q3i6N/k+vBMlsoIO+PNQw1V5l59JfYrfnqd7DwMyRt429umv02ri5UWhHSoVwskMX0CAwEAAQ==\;"

iCloud of GMail gebruiken b.v. een 2048 bits sleutel. Mailserver gebruikt een 1024 bit key. (Dat kun je niet via de GUI aanpassen)

In de config file op de nas kun je echter een minimum lengte van de sleutel opgeven en deze staat op 1024 bits. Mail met een kortere sleutel wordt niet geaccepteerd.

Als ik het commentaar op de opendkim site bekijk over de sleutellengte ( http://opendkim.org/opendkim.conf.5.html) dan schrijven zij:

MinimumKeyBits (integer)
Establishes a minimum key size for acceptable signatures. Signatures with smaller key sizes, even if they otherwise pass DKIM validation, will me marked as invalid. The default is 1024, which accepts all signatures. A value of 0 causes the default to be used.

Zij beweren dat sleutels kleiner dan 1024 niet eens voorkomen. Wel dus. Skynet gebruikt dus een kortere sleutel, die waarschijnlijk te kraken is, waardoor deze mail te manipuleren is.

Ik heb nu de config file op de nas aangepast en het minimum op 512 gezet. Onveilig, maar gmail accepteert dit soort mail ook nog steeds. Ik zal volgende week eens kijken of hun mail nu wel doorkomt.
(Edit: dat doe je in "/volume1/@appstore/MailServer/etc/template/opendkim.template". Vervolgens Mailserver Stoppen en weer Starten.)

Maar eigenlijk moet Skynet eens met veiliger sleutels gaan werken. Het ergste is nog dat ze hun domainkey de naam "securemail" hebben gegeven. Ik lach me te pletter bij zo'n zelfoverschatting.

[Ds211]

dat is idd ruk

heb niet zoveel verstand van deze mailserver maar kan jede  IP-range van jouw zenders niet white-listen zodat je die aanpassing niet hoeft te doen?
is naar mijn idee iets veiliger dan die van jouw .

[Briolet]

Een IP range whitelisten is waarschijnlijk hetzelfde werk. DKIM grijpt al vroeg in, in het proces.

Ik vond nog een andere instelling, waarmee je de door DKIM verworpen mail kunt afleveren op een adres van de systeembeheerder. (b.v. postmaster@mijndomein.nl) Aangezien ik dat ook ben, krijg ik die mail ook. Via filters in mailstation, kun je dan de mail naar dat adres in een eigen folder gooien, zodat het wel opvalt.

Ik heb net de klantenservice van Skynet een bericht gestuurd in de rubriek "bugs". Het zijn tenslotte hun klanten die niet de veiligheid krijgen die het gebruik van DKIM suggereert.

[Ds211]

dat doe ik ook (mail afvangen in een speciale bak)
maar goed dat je skynet gemaild heb

en ik bedoelde overigens niet de hele range alleen een gedeelte waar hun dynamische gedeelte in zou kunnen zitten
en anders adres zelf white-listen maar dat zou de synology niet kunnen denk ik

[Briolet]

Ik heb ook even gekeken wanneer Skynet met DKIM ondertekening begonnen was omdat ik dacht dat ze dit misschien heel lang geleden een keer ingevoerd hadden en vergeten hebben het actueel te houden.

Ik krijg bijna wekelijks een mailtje vanaf een skynet adres, dus ben ik de oude mailtjes eens doorgelopen. Ze hebben de DKIM ondertekening in oktober 2015 ingevoerd. Dat is nog maar 2 jaar geleden. Twee jaar geleden was een 512 bit sleutel ook al helemaal verouderd.

Ik heb het vorig jaar ook eens bij een apple mail adres fout zien gaan. Een klant melde toen ook dat zijn mail bounced op de DKIM check. Bij het bekijken van zijn oude mail was dat toen nog niet ondertekend. En de mail die hij me een week later stuurde was de DKIM ondertekening ook weer weg. Daar had apple wel snel door dat ze iets verkeerd geconfigureerd hadden. Het was wel een zwaktebod dat ze de ondertekening weg haalden i.p.v. de fout te herstellen.
Nog een paar week later was de ondertekening er weer en nu correct.

Ik voel me nu prettiger dat op DKIM afgekeurde mail nu toch aankomt, zij het in een andere postbus.

In elk geval bounced de mail van skynet nu niet meer en heb ik weer mail binnen gekregen. In de header staat nu:

Code: [Selecteer]

Authentication-Results: dmarc=pass header.from=skynet.be
Authentication-Results: dkim=pass (512-bit key) Ik zie dat ze dus zelfs een DMARC policy gebruiken. Dan snap ik niet dat ze zo'n verouderde sleutellengte zijn gaan gebruiken, als veiligheid bij hen belangrijk is.