Se ita mak administrador sistema email, ita bele uza DKIM atu asina imail sira ne’ebé ita haruka. Ita presiza halo róta tecla ho regular no automatikamente, no publika tecla privadu ida nian. Ha’u foin lansa dkim-rotate 1.0; dkim-rotate mak instrumentu atu halo róta tecla no publikasaun ne’e.
Se ita mak uza email, forneseiru email ita nian tenki halo ne’e. Se ne’e la halo, imail ita nian “la bele hato’o balun”, signifika se imail sira hetan foin, ema hotu (hatene, jornalista, oin mai) bele konfirma katak imail sira ne’e verídiku, no hatene ba seluk. Ne’e la’ós di’ak (ba ita).
Non-repudiasaun ba imail sira la di’ak
Problema ne’e deskreve iha artigu husi Matthew Green nian “Ok Google: please publish your DKIM secret keys”.
Hare non-repudiasaun nia sinál boot maka mentira. Básikamente, ha’u aconselha kriasaun situasaun ne’ebé ema balun la bele konfirma katak sesuatu ne’e verídiku, tanba ne’e. Tanba hanesan, situasaun ne’e kompromete dadus privadu. Makaske, kuandu ita haruka imail, iha entre ita no destinatáriu. Normalmente, ita la intenisaun atu ema hotu-hotu, iha fatin ne’ebé maka mak hetan kopía ba imail, bele konfirma katak ita mak haruka imail ne’e.
Iha terminolojia prátika, verifikabilidade ne’e uza hosi jornalista sira atu konfirma imail sira ne’ebé maka hetan. Associated Press fornece instrumentu verifikasaun.
Aconselhamentu ba ita hotu-hotu nia email
Se ita mak uza email, ita la maka hakarak imail ita nian la bele konfirma. (Ema seluk bele hakarak atu bele hatene imail ida maka ita haruka, maibé sistema email ita tenki serbi ita nian interese, la sira nia.)
Tanba ne’e, forneseiru email ita nian tenki halo róta tecla DKIM nian, no publika sira nia tecla foun. Aprosimadamenti, forneseiru ita nian provavelmente la halo :-(.
Kona-ba hatudu liu husi kabésa imail
Modu seluk atu hatudu ne’e maka ita bele husu ba kolega atu hare kabésa imail ida maka ita haruka. (Importante katak kolega ne’e uza forneseiru email seluk, tanba normalmente asinatura DKIM la aplika iha sistema email ida ne’ebé maka maka.)
Se kolega ita hare kabésa DKIM-Signature, entaun imail ne’e asinatura ho DKIM. Se la hare, entaun seidauk asinatura. Imail barak ne’ebé hetan iha internet públiku asinatura DKIM; tanba ne’e se kolega la hare kabésa, provavelmente kolega nia uza ferramenta ne’ebé la’ós di’ak, ka kolega nian sistema email iha ne’ebé ita uza mos.
Iha mensajen sira ne’ebé sistema ne’ebé uza dkim-rotate halo, sei iha kabésa kona-ba róta tecla nia informasaun, atu hatene ba ema hotu-hotu konsekuénsia ne’ebé possível. Sistemas seluk ne’ebé evita non-repudiasaun liu husi DKIM bele halo mos situasaun ida ne’e. Kabésa dkim-rotate nian hanesan ne’e:
DKIM-Signature-Warning: NOTA KONA-BA KOMPROMISU TECLA DKIM
https://www.chiark.greenend.org.uk/dkim-rotate/README.txt
https://www.chiark.greenend.org.uk/dkim-rotate/ae/aeb689c2066c5b3fee673355309fe1c7.pem
Maibé sistema email bele halo partidu husi traballu dkim-rotate nian: róta tecla regularmente sei halo asinatura imail foun la bele verifika, ne’e start di’ak. Iha kazu ne’e, sei la iha kabésa ida ne’e.
Testa verifikasaun ba mensajen foun no antigu
Ita bele mos testa verifikasaun asinatura sira. Ne’e la’ós tan simples, espesialmente se ita la iha asesu ba ferramenta email baixu-nível. Kolega ita presiza bele salva imail sira hanesan kabésa no konteúdo kompletu, la dekódifikadu, la renderiza.
Se kolega ita uza programa email Unix tradisionál, kolega presiza salva mensajen hanesan arkiu mbox. Se lae, ProPublica iha instrusaun atu anexa, transferi no hetan email la dekódifikadu ne’ebé kompletu. (Buka-buka ba “How to Check DKIM and ARC”.)
Testa katak imail sira
Inisiu, fó kolega ita testu katak bele verifika asinatura DKIM. Ne’e hanesan hatudu katak testu dahuluk, iha ne’ebé verifikasaun tenke falha ho di’ak no falha ho razón di’ak.
Haruka kolega ita imail testu agora, no kolega halo ida ne’e iha sistema Linux:
# salva mensajen hanesan test-email.mbox
apt install libmail-dkim-perl # ka tan distro seluk ne’ebé kompatível
dkimproxy-verify
Wainhira ita nain mai iha ne’ebá ne’e, fó kolega ita buka imail antigu ida, husi fulan kotuk ba (konta besik). Halo dalan ida ne’e.
Espera ita hare rezultadu hanesan ne’e:
originator address: [email protected]
signature identity: @chiark.greenend.org.uk
verify result: fail (bad RSA signature)
ka bele mos ne’e:
verify result: invalid (public key: not available)
Ne’e hatudu katak imail antigu ida ne’e la bele konfirma duni. Ne’e di’ak: signifika ema hotu hotu ne’ebé hetan kopía, la bele konfirma duni. Se laek, jornalista ne’ebé hetan nia sei la hatene katak imail ne’e verídiku no la modifika; entaun, jornalista ne’e tenki desconfia.
Se kolega ita hare “verify result: pass”, entaun kolega ita hatene katak imail antigu ida ne’e verídiku. Ema hotu-hotu ne’ebé iha kopía email bele halo ida ne’e. Ne’e di’ak ba ladun imail, maibé la di’ak ba ita nia interese.
Ba administrador email: anunsia dkim-rotate 1.0
Ha’u halo dkim-rotate 0.4 iha ha’u nia infrastruturas, husi Agustu liubá, no ha’u hanesan la hatene kona-ba ne’e: durante tinan ida boot, nia tun ba boot. Ha’u hatene kona-ba topiku ida ne’e hodi hare DKIM iha artigu seluk. Obviamente, agora wainhira deklara katak dkim-rotate 1.0.
Se ita maka administrador sistema email, ita nia útilizadór sira sei hetan servisu di’ak liu se ita uza dkim-rotate nian. Pakote ne’e dispoñível iha Debian stable, no suporta Exim tanpa nesesidade atu halo mós, maibé MTA sira seluk bele fó apoiu liu husi script ad-hoc sinpli.
Limitasaun ba abordajen ne’e
Maski ho abordajen róta tecla ne’e, imail sira kontinua la bele konfirma durante tinan ida ne’ebé ita haruka – normalmente, durante loron balun.
Ema ne’ebé hetan imail foun liubá
