[FUG-BR] Assinatura Padrão - Qmail-LDAP

Patrick Tracanelli eksffa em freebsdbrasil.com.br
Segunda Dezembro 15 16:28:43 BRST 2008 

Edilson Azevedo escreveu:
> Eu saquei... Mais então - em teoria - não é possível trabalhar com PGP e
> assinatura padrão ao mesmo tempo? Quem quer usar hoje, precisa optar?
> 
> Até!

Edilson, a abordagem padrão é a assinatura ser no lado MUA, e não no 
servidor. Normalmente empresas estabelecem política clara adicionado o 
"disclaimer" no MUA (webmail) e solicitando que os funcionários façam o 
mesmo caso usem um MUA de Desktop. Modificar no servidor pode gerar 
vários problemas, inclusive de assinatura de e-mail baseado no lado 
servidor.

Por exemplo, Domain Keys assinam o e-mail garantindo que "saiu mesmo 
daquele servidor". Mas assina no qmail-queue e o e-mail é modificado no 
qmail-remote (no caso do patch que o Eduardo enviou). Resultado: e-mail 
foi forjado, conteúdo não é o conteúdo assinado.

Pior ainda, o message-ID de cada e-mail tem um padrão que varia com o 
MTA. Se não me engano não há qualquer RFC que determine como deve ser o 
message-ID. O Microsoft Exchange com um add-on de segurança da Akamai 
por exemplo transforma o message-ID em um checksum. Tem isso no Exim 
tambem. Resultado, e-mails de Exchange+Akamai para Exchange+Akamai e de 
Exim para Exim com isso habilitado, tem ainda a verificacão de 
integridade da mensagem - que voce quebra ao por a assinautra server-side.

Existem algumas formas de amenizar. Algumas implementacões SMime 
permitem que o usuário configure se assina só aquele message body ou a 
mensagem inteira. Nesse caso é possível usar assinatura digital se a 
assinatura server-side for em anexo.

Considere usar o mailscanner. Ele tem um arquivo de controle no 
qmail/control e concatena seu conteúdo como anexo nas mensagens, e opera 
via qmail-queue.

Nesse caso a toolchain do qmail com QMAILQUEUE.patch tem que ser na 
ordem especifica, fazendo por exemplo o append da mensagem antes da 
etapa de assina-la.

Vamos supor num exemplo complexo q vc use simscan, qmail-dk 
qmail-scanner, qmail-auditor, e agora mailscanner para adicionar 
assinatura em anexo, a assinatura server-side teria que ser

qmail-smtpd => simcan => qmail-scanner => outracoisaqualquer => 
qmail-auditor => mailscanner => qmail-dk => qmail-queue => qmail-send => 
(...)

Ou seja a assinatura server-side tem que ser antes. Portanto é 
imperativo que seja no qmail-queue, pra evitar transtorno ainda maior.

Seja como for cedo ou tarde alguma coisa vai quebrar.

Cada vez mais a tendência é usar assinatura digital reconhecida 
automaticamente (icp-brasil), especialmente agora com nota fiscal 
eletroca, pregao eletronico, e-CPF, e-CNPJ, enfim toda a infra-estrutura 
de confiança no melhor estilo e-Government e e-Education. Então esse 
tipo de ação vai ser cada vez menos possível.

> 
> 
> 2008/12/15 Eduardo Alvarenga <eduardo.alvarenga em gmail.com>
> 
>> 1 - Deixe eles bem cientes que não poderão usar PGP, S/MIME ou DomainKeys
>> (DKIM).
>>
>> 2 - Se os MUA usarem o Content-Type como:
>>
>> multipart/mixed
>> multipart/alternative
>> text/html
>>
>> Também não vai funcionar. O content/type tem que ser "text/plain"
>>
>> 3 - Mostre isso pro seu chefe:
>> http://www.goldmark.org/jeff/stupid-disclaimers/
>>
>> 4 - Se mesmo assim não convencê-lo, veja esse patch:
>> http://www.ornl.gov/lists/mailing-lists/qmail/2002/09/msg00440.html
>>
>>
>> Abraço,
>>
>> 2008/12/15 Edilson Azevedo <root.apropos em gmail.com>
>>
>>> Não tinha pensado nessa possibilidade. Assinatura Digital. Bem lembrado.
>>> Bom, o cliente será avisado que não poderá utilizar certificados
>> digitais..
>>> hehehe.
>>>  Partindo desse propósito, vcs possuem alguma sugestão?
>>>
>>>
>>> Obrigado!
>>>
>>> 2008/12/15 Eduardo Alvarenga <eduardo.alvarenga em gmail.com>
>>>
>>>> Tem certeza?
>>>> Isso pode quebrar protocolos.
>>>>
>>>> Se um usuário quiser usar assinatura digital... já era.
>>>>
>>>>
>>>> Abraço,
>>>>
>>>> 2008/12/15 Edilson Azevedo <root.apropos em gmail.com>
>>>>
>>>>> Olá pessoal!
>>>>>
>>>>>  tenho uma dúvida e apenas uma idéia para resolvê-la... hehehehe...
>>>>> Gostaria
>>>>> de algumas opiniões.
>>>>>
>>>>> Seguinte: Possuo um ambiente com Qmail-LDAP onde me foi solicitado
>> uma
>>>>> assinatura padrão em todos os email enviados. Eu sei que o ProcMail
>>> pode
>>>>> fazer isso. Mais estou com medo de overhead, afinal, são quase 9000
>>>> contas
>>>>> e
>>>>> com uma movimentação diária gigantesca.
>>>>>
>>>>>  Dessa forma, gostaria de saber com os senhores se alguém tem uma
>> idéia
>>>>> melhor e menos traumática para meu MTA... tipo.. alguma
>> funcionalidade
>>> do
>>>>> Qmail... ou alguma do LDAP.. enfim. Pensei até em dot-qmail também.
>>>>>
>>>>>  Alguma luz?!?
>>>>>
>>>>> Obrigado pessoal!!!!
>>>>>
>>>>> Edilson Azevedo
>>>>> -------------------------
>>>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>>>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>>>>
>>>>
>>>>
>>>> --
>>>> Eduardo Alvarenga
>>>> -------------------------
>>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>>>
>>>
>>>
>>> --
>>> Atenciosamente,
>>>
>>> Edilson Azevedo
>>> (12) 8156-5590
>>> Mail: eazevedo em bsd.com.br
>>> Gtalk: root.apropos em gmail.com
>>> Stephen Leacock  - "I detest life-insurance agents: they always argue
>> that
>>> I
>>> shall some day die, which is not so."
>>> -------------------------
>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>>
>>
>>
>> --
>> Eduardo Alvarenga
>> -------------------------
>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>
> 
> 
> 


-- 
Patrick Tracanelli

FreeBSD Brasil LTDA.
Tel.: (31) 3516-0800
316601 em sip.freebsdbrasil.com.br
http://www.freebsdbrasil.com.br
"Long live Hanin Elias, Kim Deal!"

Mais detalhes sobre a lista de discussão freebsd