emma authenticatie workshop
DESCRIPTION
EMMA-nl organiseerde, met behulp van Maarten Oelering, op 13 oktober 2009 voor haar leden een expert bijeenkomst in workshop stijl over de laatste trends in E-mail authenticatie.TRANSCRIPT
![Page 1: Emma Authenticatie Workshop](https://reader034.vdocuments.net/reader034/viewer/2022052619/55652aafd8b42a5c268b46e8/html5/thumbnails/1.jpg)
suremailstrategy, deliverability & infrastructure
Maarten Oelering
Email AuthenticatieEMMA-nl Workshop 13-10-2009
![Page 2: Emma Authenticatie Workshop](https://reader034.vdocuments.net/reader034/viewer/2022052619/55652aafd8b42a5c268b46e8/html5/thumbnails/2.jpg)
Agenda
•Email authenticatie• Waarom is het een must?
• SPF, SIDF, DK, DKIM: overeenkomsten en verschillen
• Vragen
•DKIM implementatie• Waarom juist DKIM?
• Een stappenplan met voorbeelden
• Afsluiting en vragen
![Page 3: Emma Authenticatie Workshop](https://reader034.vdocuments.net/reader034/viewer/2022052619/55652aafd8b42a5c268b46e8/html5/thumbnails/3.jpg)
Zomaar een email van PayPal...
![Page 4: Emma Authenticatie Workshop](https://reader034.vdocuments.net/reader034/viewer/2022052619/55652aafd8b42a5c268b46e8/html5/thumbnails/4.jpg)
![Page 5: Emma Authenticatie Workshop](https://reader034.vdocuments.net/reader034/viewer/2022052619/55652aafd8b42a5c268b46e8/html5/thumbnails/5.jpg)
En vertrouw je deze nog...
![Page 6: Emma Authenticatie Workshop](https://reader034.vdocuments.net/reader034/viewer/2022052619/55652aafd8b42a5c268b46e8/html5/thumbnails/6.jpg)
Nut van authenticatie
•Vertrouwen terugbrengen in email
• Ontvanger beschermen tegen ‘spoofing’ en ‘phishing’
• Verzender beschermen tegen misbruik domein (‘brand protection’)
•Meer efficiente spam filtering
• Legitieme verzenders beter herkennen (betrouwbaarder, sneller, gedetailleerder)
![Page 7: Emma Authenticatie Workshop](https://reader034.vdocuments.net/reader034/viewer/2022052619/55652aafd8b42a5c268b46e8/html5/thumbnails/7.jpg)
Authenticatie als bouwblok
Identiteit
Authenticatie
Reputatie / Accreditatie
Anti-spam beleid
![Page 8: Emma Authenticatie Workshop](https://reader034.vdocuments.net/reader034/viewer/2022052619/55652aafd8b42a5c268b46e8/html5/thumbnails/8.jpg)
Afzender identiteiten
•IP adres mail server
•Hostnaam mail server (helo)
•Envelope sender (bounce adres)
• Sender header adres (optioneel)
• From header adres
![Page 9: Emma Authenticatie Workshop](https://reader034.vdocuments.net/reader034/viewer/2022052619/55652aafd8b42a5c268b46e8/html5/thumbnails/9.jpg)
Authenticatie via DNS
• Eigenaar domein plaatst bepaalde informatie in DNS
• Verzender verzend email met dit domein als identiteit
• Ontvanger controleert kenmerken in email met informatie uit DNS
• Ontvanger behandeld email afhankelijk van resultaat
![Page 10: Emma Authenticatie Workshop](https://reader034.vdocuments.net/reader034/viewer/2022052619/55652aafd8b42a5c268b46e8/html5/thumbnails/10.jpg)
FCrDNS
•Authenticatie van hostnaam mail server
• IP adres lookup (PTR) => hostnaam
• hostnaam lookup (A) => IP adres
• hostnaam == HELO naam
•Toegepast in vele mail software
![Page 11: Emma Authenticatie Workshop](https://reader034.vdocuments.net/reader034/viewer/2022052619/55652aafd8b42a5c268b46e8/html5/thumbnails/11.jpg)
Sender Policy Framework
•Authenticatie van envelope sender domein en helo naam
•Registratie van mail servers welke namens domein mogen verzenden
•Toegepast door Google en vele anderen
![Page 12: Emma Authenticatie Workshop](https://reader034.vdocuments.net/reader034/viewer/2022052619/55652aafd8b42a5c268b46e8/html5/thumbnails/12.jpg)
Sender ID
•Authenticatie van “zichtbare afzender” (PRA = Sender cq From header)
•Registratie van mail servers net als SPF
•Optioneel SPF “versie 2” met scope parameter
•Toegepast door Microsoft (Hotmail en Exchange)
![Page 13: Emma Authenticatie Workshop](https://reader034.vdocuments.net/reader034/viewer/2022052619/55652aafd8b42a5c268b46e8/html5/thumbnails/13.jpg)
DomainKeys
•Authenticatie van email content
• Identiteit is From header domein
•Gebaseerd op cryptografie (PKI)
•Werkt ook bij forwarding
•Toegepast door Yahoo en anderen
![Page 14: Emma Authenticatie Workshop](https://reader034.vdocuments.net/reader034/viewer/2022052619/55652aafd8b42a5c268b46e8/html5/thumbnails/14.jpg)
DKIM
•Combinatie van DK en Cisco IIM
•Gezien als opvolger DomainKeys
•Willekeurige identiteit (SDID)
•Publicatie signing practices (ADSP)
•Toegepast door Yahoo, AOL, Google
![Page 15: Emma Authenticatie Workshop](https://reader034.vdocuments.net/reader034/viewer/2022052619/55652aafd8b42a5c268b46e8/html5/thumbnails/15.jpg)
Reguliere post als metafoor
Microsoft Sender ID
![Page 16: Emma Authenticatie Workshop](https://reader034.vdocuments.net/reader034/viewer/2022052619/55652aafd8b42a5c268b46e8/html5/thumbnails/16.jpg)
Beleid providers
![Page 17: Emma Authenticatie Workshop](https://reader034.vdocuments.net/reader034/viewer/2022052619/55652aafd8b42a5c268b46e8/html5/thumbnails/17.jpg)
Waar staat u het liefst?
![Page 18: Emma Authenticatie Workshop](https://reader034.vdocuments.net/reader034/viewer/2022052619/55652aafd8b42a5c268b46e8/html5/thumbnails/18.jpg)
suremailstrategy, deliverability & infrastructure
Maarten Oelering
DKIM ImplementatieEMMA-nl Workshop 13-10-2009
![Page 19: Emma Authenticatie Workshop](https://reader034.vdocuments.net/reader034/viewer/2022052619/55652aafd8b42a5c268b46e8/html5/thumbnails/19.jpg)
DKIM is hot
![Page 20: Emma Authenticatie Workshop](https://reader034.vdocuments.net/reader034/viewer/2022052619/55652aafd8b42a5c268b46e8/html5/thumbnails/20.jpg)
Waarom DKIM?
•Veilig door gebruik van cryptografie
•Werkt ook bij forwarding van emails
• Identiteit onafhankelijk van inhoud
•Publieke internet standaard
•Sterke groei in gebruik en acceptatie
![Page 21: Emma Authenticatie Workshop](https://reader034.vdocuments.net/reader034/viewer/2022052619/55652aafd8b42a5c268b46e8/html5/thumbnails/21.jpg)
Wat is DKIM niet
•Zegt niets over ‘waarheid’ van headers of content
•Zegt niets over de identiteit van de auteur
•Zegt niets over consequenties ontbrekende of ongeldige authenticatie
![Page 22: Emma Authenticatie Workshop](https://reader034.vdocuments.net/reader034/viewer/2022052619/55652aafd8b42a5c268b46e8/html5/thumbnails/22.jpg)
DKIM implementatie stappenplan
•Kies geschikte identiteit
•Maak sleutelpaar aan
•Publiceer gegevens in DNS
•Configureer mail server
•Test juiste werking
![Page 23: Emma Authenticatie Workshop](https://reader034.vdocuments.net/reader034/viewer/2022052619/55652aafd8b42a5c268b46e8/html5/thumbnails/23.jpg)
DKIM identiteit•“...claiming responsibility for the
introduction of a message into the mail stream...”
•Onafhankelijk van From, Sender
•Verschillende rollen mogelijk, bijv.
• domein van auteur
• domein van ESP
• domein van reputatie provider (bv EMMA)
•Basis voor opvragen DNS record
![Page 24: Emma Authenticatie Workshop](https://reader034.vdocuments.net/reader034/viewer/2022052619/55652aafd8b42a5c268b46e8/html5/thumbnails/24.jpg)
Eigen domein als identiteit
(c) StrongMail
![Page 25: Emma Authenticatie Workshop](https://reader034.vdocuments.net/reader034/viewer/2022052619/55652aafd8b42a5c268b46e8/html5/thumbnails/25.jpg)
DKIM sleutelpaar
•Gebruikt om hash te versleutelen
•RSA 1024 bits of meer
•“selectors” voor sleutelbeheer
• gebruikt in DNS lookup
• periodieke vervanging sleutels
• delegeren sleutel uitgifte
![Page 26: Emma Authenticatie Workshop](https://reader034.vdocuments.net/reader034/viewer/2022052619/55652aafd8b42a5c268b46e8/html5/thumbnails/26.jpg)
Sleutelpaar aanmaken
Generate private key
Generate public key
openssl genrsa -out sel001.deliverability.nl.rsa 1024
openssl rsa -in sel001.deliverability.nl.rsa -out sel001.deliverability.nl.pub -pubout
![Page 27: Emma Authenticatie Workshop](https://reader034.vdocuments.net/reader034/viewer/2022052619/55652aafd8b42a5c268b46e8/html5/thumbnails/27.jpg)
Sleutelpaar aanmaken
![Page 28: Emma Authenticatie Workshop](https://reader034.vdocuments.net/reader034/viewer/2022052619/55652aafd8b42a5c268b46e8/html5/thumbnails/28.jpg)
DNS DKIM record
sel001._domainkey.deliverability.nl. IN TXT ( "v=DKIM1;t=s;p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKB" "gQC5mcIZMNtPgvNutAg6GUqe1Dgwnp0jltoZ8UCzZRfhFZ7jdz" "1HyZ0rBWemqwD5N/eXfZancA4FNUTra/Po283T5jA3Z2PWjgLh" "zjKCT4srQR9ZQezOK7LS6sdfqy0yz5BZOeXb+uwokBQ9OLqrxj" "Z/bdCfhbm7NXc+IeUF07qugwIDAQAB")
BIND formaat
DNS beheer tool
![Page 29: Emma Authenticatie Workshop](https://reader034.vdocuments.net/reader034/viewer/2022052619/55652aafd8b42a5c268b46e8/html5/thumbnails/29.jpg)
DKIM signature
•“a=”: hash algoritme
•“c=”: canonicalizatie (voorbewerking content voor toepassen hash)
•“d=”: domein verantwoordelijke identiteit
• “i=”: identiteit van gebruiker of onderdeel van “d=” domein
•“s=”: selector voor sleutelbeheer
![Page 30: Emma Authenticatie Workshop](https://reader034.vdocuments.net/reader034/viewer/2022052619/55652aafd8b42a5c268b46e8/html5/thumbnails/30.jpg)
Ondersteuning DKIM
•Plugins voor Sendmail, Postfix
• dkim-milter
• dkimproxy
•Professionele MTA software
• StrongMail (Email Delivery Server)
• Port25 (PowerMTA)
• Message Systems (Momentum for Sending)
![Page 31: Emma Authenticatie Workshop](https://reader034.vdocuments.net/reader034/viewer/2022052619/55652aafd8b42a5c268b46e8/html5/thumbnails/31.jpg)
PowerMTA configuratie
domain-key sel001, deliverability.nl, /etc/pmta/sel001.deliverability.nl.rsa
<domain *> dkim-algorithm rsa-sha256 dkim-body-canon simple dkim-identity @deliverability.nl dkim-sign yes</domain>
![Page 32: Emma Authenticatie Workshop](https://reader034.vdocuments.net/reader034/viewer/2022052619/55652aafd8b42a5c268b46e8/html5/thumbnails/32.jpg)
Testen DKIM
![Page 33: Emma Authenticatie Workshop](https://reader034.vdocuments.net/reader034/viewer/2022052619/55652aafd8b42a5c268b46e8/html5/thumbnails/33.jpg)
Meer weten?
•domainkeys.sourceforge.net
•dkim.org
•www.ietf.org/rfc/rfc4871.txt
•dkimcore.org