Vlákno názorů k článku E-mailem se šíří falešné výzvy k prodloužení domény, varuje CZ.NIC od Vindis - Reklamovat transakci u své banky s odkazem, že...
-
Reklamovat transakci u své banky s odkazem, že se jedná o podvodný účet. Ale nevím, jakou šanci to má.
Nevím jak ten email vypadá ve skutečnosti. Především odkud email přichází (i když ten se dá falšovat). Ale majitel domény by měl snad vědět jakého registrátora má a kdy přibližně má expiraci. A pokud má pochybnosti, tak se podívá do administrace registrátora, kde by měla být rovněž vystavena zálohová faktura.
-
Ilona Filípková, General Registry (neregistrovaný)
Dobrý den,
jediná možnost, jak dostat peníze zpět je připojit se k trestnímu oznámení. Centrální registr bude podávat trestní oznámení, až bude k dispozici číslo jednací, zveřejníme jej na našem webu (www.domainmaster.cz) a každý, kdo už uhradil se může k tomuto úkonu připojit. -
Sledoval jsem z různých zdrojů a je to jak píšete. Je to docela dobře promyšlený.
V tom případě by mělo platit jedno zásadní pravidlo. Nikdy se nespoléhat na emaily. Emaily vždy brát jen jako informační nebo komunikační, ale nikdy ne vykonávací. Pokud přijde nějaká žádost o platbu, tak nespoléhat se na údaje v něm, ale platbu provádět a ověřovat jen přes skutečné stránky nebo osoby. To jest, přihlásit se k registrátorovi a ověřit fakturu tam. A ze stejného místa provádět i platby.
To samé i u těch exekučních podvodů. Ověřit si u zdroje, zda je ta platba skutečná. -
Webmaily by podpisy mohly umět kontrolovat, ale nedělají to, protože by tím na sebe braly odpovědnost, kterou má mít uživatel. Navíc by bylo divné, kdyby jejich uživatelé mohli podpisy kontrolovat ale ne vytvářet.
I když po včerejšku si říkám, že zpráva "podpis e-mailu je asi platný" by nebyla k zahození ani u webmailu.
SPF ani DKIM snad neřeší adresu uvedenou ve zprávě, ne? Umožnili by lépe vystopovat skutečného odesílatele, ale těm e-mailům by to nezabránilo. -
Co brání útočníkovi hlavičku From z podpisu vynechat? Nebo váš klient vám zobrazuje, které hlavičky byly DKIM podepsány? Pravda je, že třeba GMail zobrazuje název domény, kterou byl e-mail podepsán, toho by si někdo všimnout mohl.
Nicméně DKIM je primárně určen pro ověření serveru, ne obsahu e-mailu. Je úplně v pořádku posílat e-mail s fakturou třeba přes SMTP server ISP. U registrátora domén by bylo trochu divné, že nemá svůj server, ale třeba u e-shopu by to nebylo nic překvapivého. -
E-podpisy na webmailech. Implementačně to není složitý. Sám jsem něco podobného dělal, i když nešlo o webmail, ale o systém, jež přijímal emaily a kontroloval pravost. Stejně tak podepisoval a odesílal. Problém ale představuji dvě věci. Tím prvním je správa CA. Webmail musí mít nějaký seznam podporovaných CA certifikátů, aby mohl ověřit email. Navíc je tu i určitá režie. Webmail by musel pořád něco ověřovat (není jen jeden email, ale stovky tisíc) a to je zátěž. Takže nejde ani tak o zodpovědnost, ale o technické aspekty a rozšiřitelnost e-podpisu. A druhým a to je největší problém. Webmail musí mít přístup k privátnímu klíči, aby mohl vůbec email podepsat. Což představuje bezpečnostní riziko - klíč se někam posílá ven. Takže jde o důvěru. A pochybuji, že by někdo jen tak dával serveru privátní klíč, jen aby podepsal email.
Na desktopu je to jednoduché. Všechno je na jednom místě. Ověření provádí program a jen při načtení emailu, takže v daný moment se ověřuje jen jeden email - nulová zátěž. Navíc správa CA je na uživateli. Pokud tam vloží CA, tak je to jen na jeho riziko, zda CA důvěřuje. A podepisování je také snadné. Program jen sáhne do systému nebo pokud to má v sobě, a přímo na místě email podepíše. -
Certifikáty CA by si mohl každý uživatel udržovat sám i na webmailu. Jak je vidět, smysl by mělo i pouhé ověřování, bez možnosti e-mail také podepsat. Problém je v tom, že je pak potřeba věřit, že provozovatel webmailu dělá to ověření správně. Na druhou stranu, Googlu bych v případě faktury na pár korun, jako je tenhle případ,to ověření podpisu věřil.
Podpis by se dal udělat, pokud by byl elektronický podpis implementován v prohlížečích. Nějaké náznaky, že by se něco takového mohlo udělat, se občas objevují, ale je to hodně okrajové. Jsou mnohem důležitější věci, co v prohlížečích implementovat – přehrávání videa, 3D transformace… -
lol (neregistrovaný)
a? Pointa toho celeho mala byt, ze ak je vsetko s DKIM v poriadku, moze sa vo freemailoch ukazat label - tento mail je pravdepobone OK. Ak nebude DKIM valid, tak sa to tam nezobrazi. Vysledok? Pride ti mail od odosielatela u ktoreho si zvyknuty ze tam mas "soft safe" kde ziaden label nebude, tak spozornies.
-
M. (neregistrovaný)
Ano, v mailu může být DKIM podpisů kolik chce, klidně z každého mail serveru, kterým mail projde. Takové podpisy po kontrole mi řeknou, že daným serverme opravdu mail prošel a případně v podpisu zahrnuté hlavičky nebyly od té doby změněny. K ničemu jinému to nepoužiju (a tyto podpisy se často ani nevyhondocují).
Ale existuje pojem author domain. To je ta doména v From: (a ne z obálky nebo odněkud jinud), takže pokud ověřuji odesilatele, tak se hledá, zda je v DKIM podpisech doména s d= odpovídající From, to je pak author domain, ta se použije pro úvahu o tom, zd mail přišle z místa odkud měl. A pokud chci říco, že pro maily From: <něco>@firma.cz to má chodit podepsané pomocí DKIM, tak to říkám přes _adsp._domainkey.firma.cz s dkim=all a ten DKIM klíč musí být nějaký dostupný pod _domainkey.firma.cz..
Nicméně v praxi těch podpisujících pomocí DKIM v našich vodách moc není a ještě míň těch s definovaným ADSP. Mnohme míň, než těch SPFek. -
Takže mi přijde e-mail s From
faktury@eshop.czs validním DKIM podpisem z doményhosting.cz. A někde v hlavičkách bude možná zmínka, že obálkovým odesílatelem bylfaktury@eshop.cz. Příště přijde další e-mail s Fromfaktury@eshop.czs validním DKIM podpisem z doményhosting.cz.A někde v hlavičkách bude možná zmínka, že obálkovým odesílatelem bylhacker@taky-klient-hosting.cz. To mi asi moc nepomůže, ne?
Registrátor domén svůj e-mailový server nemusí poskytovat i klientům, ale spousta registrátorů je zároveň třeba webhostery, takže je dost pravděpodobné, že přes jejich e-mailové servery mohou e-maily posílat i klienti. -
lol (neregistrovaný)
tak si ta firma ktora bude chciet vypadat doveryhodne voci klientom vyriesi DKIM tak, aby tag From obsahoval domenu z parametru d.
Nie je to nic komplikovane. DKIM filter pre Postfix vie podpisovat odchadzajuce maily na zaklade domeny. Nastavi sa tam private key, selector, zabezpeci sa propagacia DNS zaznamu a je vymalovane. Nic nebrani aby si DKIM vyriesili po vlastnej ose a nespoliehali sa na nejaky hosting.Treba len aby niekto velky ako napriklad Gmail to zacal riesit. Kym na to budu vsetci prdet, bude DKIM v stave v akom je: nic-moc ale vzdy lepsie ako dratom do oka.
-
Pokud ta firma chce vypadat důvěryhodně, měla by především podepisovat tu fakturu a/nebo e-mail. Ověření domény odesílatele totiž pořád ještě mnoho neznamená pro důvěryhodnost obsahu. Třeba e-mail odeslaný z domény vysoké školy může mít všechno v pořádku, DKIM podpis pro odesílatele uvedené ve zprávě sedí, doména má ADSP s dkim=all, ale přesto bych neproplácel každou fakturu, kterou student té školy odešle.
Zrovna GMail DKIM bere v úvahu při analýze spamu a pokud je DKIM podpis ověřen, zobrazuje to u e-mailu.
ČLÁNKY DO MAILU