2010年4月20日

[postfix-jp: 3770] Re:dkfilter と仮想ドメインについて

岩本といいます。
# 内容が古いまま放置していてすみません。

On Sat, 17 Apr 2010 10:13:46 +0900
Nakane Ryuji <ryuu@xxxxx> wrote:

> dkfilter は使っていないので現在の状況は未確認ですが、以下 URI の情
> 報によると 2005年8月27日時点の Version 0.8 では複数ドメインのそれぞ

> れに個別の鍵を適用できないようです
> 複数ドメインすべてでひとつの鍵を共有することは可能ということなので、
> この情報を元に、ここ 5年間の change log 等で改善されているのかを調
> 査されてはどうでしょう
>
> 参考: http://www.postfix.jp/dkfilter.html の終わりがけ「問題点」の章

最新版(0.11) でも複数の鍵は扱えません。
ただ使ったことは無いのですが、Config File Patch というのがあって、
これを使えばドメイン毎に別の鍵を使う事も出来るようです。

しかしこれを使う位ならば、後述の DKIMproxy を使った方がいいように思います。


On Sat, 17 Apr 2010 11:16:49 +0900
藤森富士夫 <f-fujimori@xxxxx> wrote:

> 鍵については,現在取り扱っている 103 のドメイン全てで同じ鍵を使うつもり
> でした。

流石に 103 もドメインが有ると、コマンドラインのオプションで指定するのは
面倒ですよね。
これくらいドメインが有る場合は、ドメインのリストが書かれたファイルで
指定できる DKIMproxy や dk-milter 等の方が扱いやすいように思います。

DKIMproxy: http://dkimproxy.sourceforge.net/
dk-milter: http://sourceforge.net/projects/dk-milter/

DKIMproxy は dkfilter の作者が作った DKIM の filter です。
DKIM の他に DomainKeys での署名/検証も行えます。
Postfix 側の設定は dkfilter と同じですので、dkfilter からの移行がしやすいと
思います。
また dkfilter では行えなかった、ドメイン毎に別の鍵を使ったり、ドメインの
リストをファイルで持たせたりする事も出来るようになっています。
dkfilter はもう更新されていないようなので、今から使うならば DKIMproxy の
方がいいと思います。

dk-milter は DomainKeys に対応した milter です。
dkfilter や DKIMproxy は perl のスクリプトですが、こちらは C で書かれて
いるので、動作が軽いのではないかと思います。
# ちゃんと比べていません
また dkfilter, DKIMproxy は署名と検証でプログラムが分かれていますが、
dk-milter(やdkim-milter)は署名と検証を一つのプログラムで行います。


> > 蛇足ですが、小生は dkim-filter (dkim-milter) で複数ドメインに個別の
> > DKIM (≒DomainKeys) を付けています

今から使うならば最新の規格である DKIM の方がいいと思いますが、Yahoo! Japan
はまだ DKIM に対応していないようですので、Yahoo! Japan への送信時を考えて
DomainKeys 対応をする場合は dkim-milter は使えません。
逆に Yahoo! Japan からのメールの受信時の事を考えている場合は、dkim-milterは
DomainKeys の検証も行えますので、dkim-milter でも OK です。


> ----- 色々と調べたのですが milter と filter の違いが良く判りません
>
> そもそも domainKeys の実装の時に filter と milter があって,
>
> ●milter は sendmail 用
> ●filter は postfix にも対応できる

元々 milter は sendmail の為のインタフェースとして作られ、昔の Postfix は
milter に対応していなかったのでそのような状況でしたが、最近の Postfix は
milter への対応も十分だと思いますので、どちらを使ってもいいと思います。

> と言う本で filter が紹介されていたため,こちらを選択しました。今後 DKIM
> が主流というか,そういう流れなら milter を実装した方が良いのかも・・・

念のため書いておくと、milter か filter かというのと、DomainKeys か DKIM か
というのは直交した問題です。
前述したように、DKIM に対応した filter はありますし、DomainKeys に対応した
milter もあります。

ここまでで出てきたプログラムを比べると以下のような感じでしょうか。

種別 署名 検証
dkfilter filter DomainKeys DomainKeys
DKIMproxy filter 両方 両方
dk-milter milter DomainKeys DomainKeys
dkim-milter milter DKIM 両方

# 他にも、検証だけならば SpamAssassin も対応していますね
# 後は dkim-milter から fork した OpenDKIM というのも有るようですが、
# dkim-milter とどう違うのか良く判っていません。

filter ならば DKIMproxy でいいと思います。
milter で DomainKeys, DKIM の両方に対応させる場合、dk-milter と dkim-milter
の両方を使う必要があります。
この場合、dk-milter は署名のみで動かせばいいです。


On Sun, 18 Apr 2010 09:06:29 +0900
藤森富士夫 <f-fujimori@xxxxx> wrote:

> なお,milter と filter の違いや,今後の事を考えるとどちらを実装したらよ
> いのか,については私の中で答えが出ておりません。

# 以下は私の思い込みによる間違いが含まれている可能性があるので
# 話半分で聞いてください。

milter と filter をプロトコルとして比べた場合、SMTP プロトコルを流用した
filter よりは専用のプロトコルである milter の方が色々な情報が渡せますので、
プログラム側がその情報を利用するようになっているのならば milter の方が
高機能になると思います。
例えば、dk-milter, dkim-milter 共に SMTP-Auth で認証されたメールの場合は
署名するというような事が出来ます。(デフォルトの動作)

パフォーマンス的には、After-queue content filter と milter を比べた場合は
milter の方が良さそうですが、Before-queue content filter と milter ならば
大して違いが無さそうに思います。

設定的には、milter の方がシンプルになると思いますので、個人的には milter
の方が私は好きです。
# 私の好みを書いてもしょうがないですね(^^;


DomainKeys と DKIM を比べた場合、前にも書いたように、最新の規格である
DKIM の方が望ましいと言えるとは思います。
# DomainKeys の RFC4870 は、出たと同時に DKIM の RFC4871 によって
# Obsolete にされていたりします

ただ、結局は相手が対応していなければ意味がないので、特定の相手を考える
ならば、その相手に合わせる事になるかと思います。

特定の相手を考えないならば、今は過渡期と割り切って両方に対応するのが
無難ではないでしょうか。
# ずっと過渡期のままになるかもしれませんが (^^;

--
いわもと こういち(sue@xxxxx/sue@xxxxx/sue@xxxxx)
# なるようになれ、明日もイケイケ♪

_______________________________________________
Postfix-jp-list mailing list
Postfix-jp-list@xxxxx
http://lists.sourceforge.jp/mailman/listinfo/postfix-jp-list


投稿者 xml-rpc : 2010年4月20日 17:57
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/95249
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。