Edilson Azevedo escreveu: > Eu saquei... Mais então - em teoria - não é possível trabalhar com PGP e > assinatura padrão ao mesmo tempo? Quem quer usar hoje, precisa optar? > > Até!
Edilson, a abordagem padrão é a assinatura ser no lado MUA, e não no servidor. Normalmente empresas estabelecem política clara adicionado o "disclaimer" no MUA (webmail) e solicitando que os funcionários façam o mesmo caso usem um MUA de Desktop. Modificar no servidor pode gerar vários problemas, inclusive de assinatura de e-mail baseado no lado servidor. Por exemplo, Domain Keys assinam o e-mail garantindo que "saiu mesmo daquele servidor". Mas assina no qmail-queue e o e-mail é modificado no qmail-remote (no caso do patch que o Eduardo enviou). Resultado: e-mail foi forjado, conteúdo não é o conteúdo assinado. Pior ainda, o message-ID de cada e-mail tem um padrão que varia com o MTA. Se não me engano não há qualquer RFC que determine como deve ser o message-ID. O Microsoft Exchange com um add-on de segurança da Akamai por exemplo transforma o message-ID em um checksum. Tem isso no Exim tambem. Resultado, e-mails de Exchange+Akamai para Exchange+Akamai e de Exim para Exim com isso habilitado, tem ainda a verificacão de integridade da mensagem - que voce quebra ao por a assinautra server-side. Existem algumas formas de amenizar. Algumas implementacões SMime permitem que o usuário configure se assina só aquele message body ou a mensagem inteira. Nesse caso é possível usar assinatura digital se a assinatura server-side for em anexo. Considere usar o mailscanner. Ele tem um arquivo de controle no qmail/control e concatena seu conteúdo como anexo nas mensagens, e opera via qmail-queue. Nesse caso a toolchain do qmail com QMAILQUEUE.patch tem que ser na ordem especifica, fazendo por exemplo o append da mensagem antes da etapa de assina-la. Vamos supor num exemplo complexo q vc use simscan, qmail-dk qmail-scanner, qmail-auditor, e agora mailscanner para adicionar assinatura em anexo, a assinatura server-side teria que ser qmail-smtpd => simcan => qmail-scanner => outracoisaqualquer => qmail-auditor => mailscanner => qmail-dk => qmail-queue => qmail-send => (...) Ou seja a assinatura server-side tem que ser antes. Portanto é imperativo que seja no qmail-queue, pra evitar transtorno ainda maior. Seja como for cedo ou tarde alguma coisa vai quebrar. Cada vez mais a tendência é usar assinatura digital reconhecida automaticamente (icp-brasil), especialmente agora com nota fiscal eletroca, pregao eletronico, e-CPF, e-CNPJ, enfim toda a infra-estrutura de confiança no melhor estilo e-Government e e-Education. Então esse tipo de ação vai ser cada vez menos possível. > > > 2008/12/15 Eduardo Alvarenga <eduardo.alvare...@gmail.com> > >> 1 - Deixe eles bem cientes que não poderão usar PGP, S/MIME ou DomainKeys >> (DKIM). >> >> 2 - Se os MUA usarem o Content-Type como: >> >> multipart/mixed >> multipart/alternative >> text/html >> >> Também não vai funcionar. O content/type tem que ser "text/plain" >> >> 3 - Mostre isso pro seu chefe: >> http://www.goldmark.org/jeff/stupid-disclaimers/ >> >> 4 - Se mesmo assim não convencê-lo, veja esse patch: >> http://www.ornl.gov/lists/mailing-lists/qmail/2002/09/msg00440.html >> >> >> Abraço, >> >> 2008/12/15 Edilson Azevedo <root.apro...@gmail.com> >> >>> Não tinha pensado nessa possibilidade. Assinatura Digital. Bem lembrado. >>> Bom, o cliente será avisado que não poderá utilizar certificados >> digitais.. >>> hehehe. >>> Partindo desse propósito, vcs possuem alguma sugestão? >>> >>> >>> Obrigado! >>> >>> 2008/12/15 Eduardo Alvarenga <eduardo.alvare...@gmail.com> >>> >>>> Tem certeza? >>>> Isso pode quebrar protocolos. >>>> >>>> Se um usuário quiser usar assinatura digital... já era. >>>> >>>> >>>> Abraço, >>>> >>>> 2008/12/15 Edilson Azevedo <root.apro...@gmail.com> >>>> >>>>> Olá pessoal! >>>>> >>>>> tenho uma dúvida e apenas uma idéia para resolvê-la... hehehehe... >>>>> Gostaria >>>>> de algumas opiniões. >>>>> >>>>> Seguinte: Possuo um ambiente com Qmail-LDAP onde me foi solicitado >> uma >>>>> assinatura padrão em todos os email enviados. Eu sei que o ProcMail >>> pode >>>>> fazer isso. Mais estou com medo de overhead, afinal, são quase 9000 >>>> contas >>>>> e >>>>> com uma movimentação diária gigantesca. >>>>> >>>>> Dessa forma, gostaria de saber com os senhores se alguém tem uma >> idéia >>>>> melhor e menos traumática para meu MTA... tipo.. alguma >> funcionalidade >>> do >>>>> Qmail... ou alguma do LDAP.. enfim. Pensei até em dot-qmail também. >>>>> >>>>> Alguma luz?!? >>>>> >>>>> Obrigado pessoal!!!! >>>>> >>>>> Edilson Azevedo >>>>> ------------------------- >>>>> Histórico: http://www.fug.com.br/historico/html/freebsd/ >>>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd >>>>> >>>> >>>> >>>> -- >>>> Eduardo Alvarenga >>>> ------------------------- >>>> Histórico: http://www.fug.com.br/historico/html/freebsd/ >>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd >>>> >>> >>> >>> -- >>> Atenciosamente, >>> >>> Edilson Azevedo >>> (12) 8156-5590 >>> Mail: eazev...@bsd.com.br >>> Gtalk: root.apro...@gmail.com >>> Stephen Leacock - "I detest life-insurance agents: they always argue >> that >>> I >>> shall some day die, which is not so." >>> ------------------------- >>> Histórico: http://www.fug.com.br/historico/html/freebsd/ >>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd >>> >> >> >> -- >> Eduardo Alvarenga >> ------------------------- >> Histórico: http://www.fug.com.br/historico/html/freebsd/ >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd >> > > > -- Patrick Tracanelli FreeBSD Brasil LTDA. Tel.: (31) 3516-0800 316...@sip.freebsdbrasil.com.br http://www.freebsdbrasil.com.br "Long live Hanin Elias, Kim Deal!" ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
