[FUG-BR] Assinatura Padrão - Qmail-LDAP
Edilson Azevedo
root.apropos em gmail.com
Segunda Dezembro 15 17:19:02 BRST 2008
Novamente Sir. Patrick.. com suas respostas absolutas.
Velho, obrigado mesmo!
2008/12/15 Patrick Tracanelli <eksffa em freebsdbrasil.com.br>
> Edilson Azevedo escreveu:
> > Eu saquei... Mais então - em teoria - não é possível trabalhar com PGP e
> > assinatura padrão ao mesmo tempo? Quem quer usar hoje, precisa optar?
> >
> > Até!
>
> Edilson, a abordagem padrão é a assinatura ser no lado MUA, e não no
> servidor. Normalmente empresas estabelecem política clara adicionado o
> "disclaimer" no MUA (webmail) e solicitando que os funcionários façam o
> mesmo caso usem um MUA de Desktop. Modificar no servidor pode gerar
> vários problemas, inclusive de assinatura de e-mail baseado no lado
> servidor.
>
> Por exemplo, Domain Keys assinam o e-mail garantindo que "saiu mesmo
> daquele servidor". Mas assina no qmail-queue e o e-mail é modificado no
> qmail-remote (no caso do patch que o Eduardo enviou). Resultado: e-mail
> foi forjado, conteúdo não é o conteúdo assinado.
>
> Pior ainda, o message-ID de cada e-mail tem um padrão que varia com o
> MTA. Se não me engano não há qualquer RFC que determine como deve ser o
> message-ID. O Microsoft Exchange com um add-on de segurança da Akamai
> por exemplo transforma o message-ID em um checksum. Tem isso no Exim
> tambem. Resultado, e-mails de Exchange+Akamai para Exchange+Akamai e de
> Exim para Exim com isso habilitado, tem ainda a verificacão de
> integridade da mensagem - que voce quebra ao por a assinautra server-side.
>
> Existem algumas formas de amenizar. Algumas implementacões SMime
> permitem que o usuário configure se assina só aquele message body ou a
> mensagem inteira. Nesse caso é possível usar assinatura digital se a
> assinatura server-side for em anexo.
>
> Considere usar o mailscanner. Ele tem um arquivo de controle no
> qmail/control e concatena seu conteúdo como anexo nas mensagens, e opera
> via qmail-queue.
>
> Nesse caso a toolchain do qmail com QMAILQUEUE.patch tem que ser na
> ordem especifica, fazendo por exemplo o append da mensagem antes da
> etapa de assina-la.
>
> Vamos supor num exemplo complexo q vc use simscan, qmail-dk
> qmail-scanner, qmail-auditor, e agora mailscanner para adicionar
> assinatura em anexo, a assinatura server-side teria que ser
>
> qmail-smtpd => simcan => qmail-scanner => outracoisaqualquer =>
> qmail-auditor => mailscanner => qmail-dk => qmail-queue => qmail-send =>
> (...)
>
> Ou seja a assinatura server-side tem que ser antes. Portanto é
> imperativo que seja no qmail-queue, pra evitar transtorno ainda maior.
>
> Seja como for cedo ou tarde alguma coisa vai quebrar.
>
> Cada vez mais a tendência é usar assinatura digital reconhecida
> automaticamente (icp-brasil), especialmente agora com nota fiscal
> eletroca, pregao eletronico, e-CPF, e-CNPJ, enfim toda a infra-estrutura
> de confiança no melhor estilo e-Government e e-Education. Então esse
> tipo de ação vai ser cada vez menos possível.
>
> >
> >
> > 2008/12/15 Eduardo Alvarenga <eduardo.alvarenga em gmail.com>
> >
> >> 1 - Deixe eles bem cientes que não poderão usar PGP, S/MIME ou
> DomainKeys
> >> (DKIM).
> >>
> >> 2 - Se os MUA usarem o Content-Type como:
> >>
> >> multipart/mixed
> >> multipart/alternative
> >> text/html
> >>
> >> Também não vai funcionar. O content/type tem que ser "text/plain"
> >>
> >> 3 - Mostre isso pro seu chefe:
> >> http://www.goldmark.org/jeff/stupid-disclaimers/
> >>
> >> 4 - Se mesmo assim não convencê-lo, veja esse patch:
> >> http://www.ornl.gov/lists/mailing-lists/qmail/2002/09/msg00440.html
> >>
> >>
> >> Abraço,
> >>
> >> 2008/12/15 Edilson Azevedo <root.apropos em gmail.com>
> >>
> >>> Não tinha pensado nessa possibilidade. Assinatura Digital. Bem
> lembrado.
> >>> Bom, o cliente será avisado que não poderá utilizar certificados
> >> digitais..
> >>> hehehe.
> >>> Partindo desse propósito, vcs possuem alguma sugestão?
> >>>
> >>>
> >>> Obrigado!
> >>>
> >>> 2008/12/15 Eduardo Alvarenga <eduardo.alvarenga em gmail.com>
> >>>
> >>>> Tem certeza?
> >>>> Isso pode quebrar protocolos.
> >>>>
> >>>> Se um usuário quiser usar assinatura digital... já era.
> >>>>
> >>>>
> >>>> Abraço,
> >>>>
> >>>> 2008/12/15 Edilson Azevedo <root.apropos em gmail.com>
> >>>>
> >>>>> Olá pessoal!
> >>>>>
> >>>>> tenho uma dúvida e apenas uma idéia para resolvê-la... hehehehe...
> >>>>> Gostaria
> >>>>> de algumas opiniões.
> >>>>>
> >>>>> Seguinte: Possuo um ambiente com Qmail-LDAP onde me foi solicitado
> >> uma
> >>>>> assinatura padrão em todos os email enviados. Eu sei que o ProcMail
> >>> pode
> >>>>> fazer isso. Mais estou com medo de overhead, afinal, são quase 9000
> >>>> contas
> >>>>> e
> >>>>> com uma movimentação diária gigantesca.
> >>>>>
> >>>>> Dessa forma, gostaria de saber com os senhores se alguém tem uma
> >> idéia
> >>>>> melhor e menos traumática para meu MTA... tipo.. alguma
> >> funcionalidade
> >>> do
> >>>>> Qmail... ou alguma do LDAP.. enfim. Pensei até em dot-qmail também.
> >>>>>
> >>>>> Alguma luz?!?
> >>>>>
> >>>>> Obrigado pessoal!!!!
> >>>>>
> >>>>> Edilson Azevedo
> >>>>> -------------------------
> >>>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
> >>>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >>>>>
> >>>>
> >>>>
> >>>> --
> >>>> Eduardo Alvarenga
> >>>> -------------------------
> >>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
> >>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >>>>
> >>>
> >>>
> >>> --
> >>> Atenciosamente,
> >>>
> >>> Edilson Azevedo
> >>> (12) 8156-5590
> >>> Mail: eazevedo em bsd.com.br
> >>> Gtalk: root.apropos em gmail.com
> >>> Stephen Leacock - "I detest life-insurance agents: they always argue
> >> that
> >>> I
> >>> shall some day die, which is not so."
> >>> -------------------------
> >>> Histórico: http://www.fug.com.br/historico/html/freebsd/
> >>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >>>
> >>
> >>
> >> --
> >> Eduardo Alvarenga
> >> -------------------------
> >> Histórico: http://www.fug.com.br/historico/html/freebsd/
> >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >>
> >
> >
> >
>
>
> --
> Patrick Tracanelli
>
> FreeBSD Brasil LTDA.
> Tel.: (31) 3516-0800
> 316601 em sip.freebsdbrasil.com.br
> http://www.freebsdbrasil.com.br
> "Long live Hanin Elias, Kim Deal!"
>
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
--
Atenciosamente,
Edilson Azevedo
(12) 8156-5590
Mail: eazevedo em bsd.com.br
Gtalk: root.apropos em gmail.com
Bob Hope - "I don't feel old. I don't feel anything till noon. That's when
it's time for my nap."
Mais detalhes sobre a lista de discussão freebsd