Koniec anonimowości w Internecie
- 04.03.2008
W przypadku korporacji, zwłaszcza dużych firm o zasięgu międzynarodowym, koszty są związane nie tyle z aktualizacją wielu wykorzystywanych systemów e-mail, ile przede wszystkim z koniecznością szczegółowej analizy i inwentaryzacji wszystkich domen związanych z pocztą elektroniczną. "Nie technika, a konieczność analizy operacji i procedur jest największym problemem. Trzeba nie tylko zbadać, kto wysyła listy w imieniu firmy, ale stworzyć mechanizmy zarządzania takimi uprawnieniami" - uważa Craig Spiezle, przewodniczący organizacji Authentication and Online Trust Alliancehttp://www.aotalliance.org Przy niedokładnej analizie mogą bowiem pojawić się problemy polegające na tym, że niektóre oryginalne listy nie będą w ogóle docierały do adresatów, jeśli oczywiście również oni wdrożą mechanizmy DKIM w swoim systemie.
Microsoft jest za, ale i przeciw
Mimo że przedstawiciele Microsoftu biorą udział w pracach grupy roboczej IETF przygotowującej standard DKIM, nie oznacza to, że potentat zamierza go wdrożyć w swoim oprogramowaniu do obsługi poczty elektronicznej, a przynajmniej wciąż brak takich deklaracji. Firma propaguje i wspiera własne rozwiązanie, czyli technologię Sender ID, która działa na podobnej zasadzie - wymaga od firm i dostawców Internetu publikowania informacji identyfikujących ich serwery pocztowe w tzw. formacie SPF (Sender Policy Framework), będącym rozszerzeniem protokołu SMTP (Simple Mail Transfer Protocol).
Należy jednak podkreślić, że mechanizmy SPF współpracują z DKIM. Dla użytkowników polityka Microsoftu nie stwarza więc bezpośredniego problemu, a oznacza jedynie, że kupując Exchange, nie otrzymają w standardowym pakiecie modułów do obsługi DKIM i będą musieli sami dodatkowo je zainstalować, wykorzystując aplikacje lub urządzenia oferowane przez inne firmy, takie jak Sendmail lub IronPort.
Wiele organizacji zajmujących się problemami dotyczącymi bezpieczeństwa w Internecie zaczęło rekomendować wdrożenie obu tych mechanizmów, a więc zarówno Sender ID, jak i DKIM. Przykładem może być wpływowa amerykańska organizacja BITS, a także AOTA. "Technologie te są komplementarne i wzajemnie się uzupełniają" - zauważa Craig Spiezle, przewodniczący AOTA. Ponadto Microsoft Sender ID pojawiła się na rynku wcześniej, więc baza użytkowników tego systemu jest obecnie znacznie większa. Natomiast PayPal wdrożyła tę technologię w swoich systemach już na początku 2007 r., a dopiero niedawno zaczęła korzystać z mechanizmów DKIM.
1. Zidentyfikować wszystkie domeny, z których wysyłana jest poczta. Dotyczy to nie tylko wewnętrznych domen w systemie IT, ale również należących do innych współpracujących firm, np. obsługujących serwis lub marketing.
2. Dla każdej domeny utworzyć tekstowe, zgodne ze specyfikacją DKIM, rekordy w obsługujących je serwerach DNS.
3. Zaktualizować oprogramowanie serwerów pocztowych lub zakupić odpowiednie urządzenia appliance obsługujące mechanizmy DKIM. Konieczność aktualizacji dotyczy wszystkich modułów MTA (Message Transfer Agent), będących ostatnim z elementów każdego systemu pocztowego odpowiedzialnym za wysyłanie poczty. MTA muszą być zmodyfikowane tak, aby do wysyłanych listów automatycznie dołączały odpowiednie podpisy cyfrowe DKIM umożliwiające weryfikację nadawcy.