Novamente Sir. Patrick.. com suas respostas absolutas. Velho, obrigado mesmo!
2008/12/15 Patrick Tracanelli <eks...@freebsdbrasil.com.br> > Edilson Azevedo escreveu: > > Eu saquei... Mais então - em teoria - não é possível trabalhar com PGP e > > assinatura padrão ao mesmo tempo? Quem quer usar hoje, precisa optar? > > > > Até! > > Edilson, a abordagem padrão é a assinatura ser no lado MUA, e não no > servidor. Normalmente empresas estabelecem política clara adicionado o > "disclaimer" no MUA (webmail) e solicitando que os funcionários façam o > mesmo caso usem um MUA de Desktop. Modificar no servidor pode gerar > vários problemas, inclusive de assinatura de e-mail baseado no lado > servidor. > > Por exemplo, Domain Keys assinam o e-mail garantindo que "saiu mesmo > daquele servidor". Mas assina no qmail-queue e o e-mail é modificado no > qmail-remote (no caso do patch que o Eduardo enviou). Resultado: e-mail > foi forjado, conteúdo não é o conteúdo assinado. > > Pior ainda, o message-ID de cada e-mail tem um padrão que varia com o > MTA. Se não me engano não há qualquer RFC que determine como deve ser o > message-ID. O Microsoft Exchange com um add-on de segurança da Akamai > por exemplo transforma o message-ID em um checksum. Tem isso no Exim > tambem. Resultado, e-mails de Exchange+Akamai para Exchange+Akamai e de > Exim para Exim com isso habilitado, tem ainda a verificacão de > integridade da mensagem - que voce quebra ao por a assinautra server-side. > > Existem algumas formas de amenizar. Algumas implementacões SMime > permitem que o usuário configure se assina só aquele message body ou a > mensagem inteira. Nesse caso é possível usar assinatura digital se a > assinatura server-side for em anexo. > > Considere usar o mailscanner. Ele tem um arquivo de controle no > qmail/control e concatena seu conteúdo como anexo nas mensagens, e opera > via qmail-queue. > > Nesse caso a toolchain do qmail com QMAILQUEUE.patch tem que ser na > ordem especifica, fazendo por exemplo o append da mensagem antes da > etapa de assina-la. > > Vamos supor num exemplo complexo q vc use simscan, qmail-dk > qmail-scanner, qmail-auditor, e agora mailscanner para adicionar > assinatura em anexo, a assinatura server-side teria que ser > > qmail-smtpd => simcan => qmail-scanner => outracoisaqualquer => > qmail-auditor => mailscanner => qmail-dk => qmail-queue => qmail-send => > (...) > > Ou seja a assinatura server-side tem que ser antes. Portanto é > imperativo que seja no qmail-queue, pra evitar transtorno ainda maior. > > Seja como for cedo ou tarde alguma coisa vai quebrar. > > Cada vez mais a tendência é usar assinatura digital reconhecida > automaticamente (icp-brasil), especialmente agora com nota fiscal > eletroca, pregao eletronico, e-CPF, e-CNPJ, enfim toda a infra-estrutura > de confiança no melhor estilo e-Government e e-Education. Então esse > tipo de ação vai ser cada vez menos possível. > > > > > > > 2008/12/15 Eduardo Alvarenga <eduardo.alvare...@gmail.com> > > > >> 1 - Deixe eles bem cientes que não poderão usar PGP, S/MIME ou > DomainKeys > >> (DKIM). > >> > >> 2 - Se os MUA usarem o Content-Type como: > >> > >> multipart/mixed > >> multipart/alternative > >> text/html > >> > >> Também não vai funcionar. O content/type tem que ser "text/plain" > >> > >> 3 - Mostre isso pro seu chefe: > >> http://www.goldmark.org/jeff/stupid-disclaimers/ > >> > >> 4 - Se mesmo assim não convencê-lo, veja esse patch: > >> http://www.ornl.gov/lists/mailing-lists/qmail/2002/09/msg00440.html > >> > >> > >> Abraço, > >> > >> 2008/12/15 Edilson Azevedo <root.apro...@gmail.com> > >> > >>> Não tinha pensado nessa possibilidade. Assinatura Digital. Bem > lembrado. > >>> Bom, o cliente será avisado que não poderá utilizar certificados > >> digitais.. > >>> hehehe. > >>> Partindo desse propósito, vcs possuem alguma sugestão? > >>> > >>> > >>> Obrigado! > >>> > >>> 2008/12/15 Eduardo Alvarenga <eduardo.alvare...@gmail.com> > >>> > >>>> Tem certeza? > >>>> Isso pode quebrar protocolos. > >>>> > >>>> Se um usuário quiser usar assinatura digital... já era. > >>>> > >>>> > >>>> Abraço, > >>>> > >>>> 2008/12/15 Edilson Azevedo <root.apro...@gmail.com> > >>>> > >>>>> Olá pessoal! > >>>>> > >>>>> tenho uma dúvida e apenas uma idéia para resolvê-la... hehehehe... > >>>>> Gostaria > >>>>> de algumas opiniões. > >>>>> > >>>>> Seguinte: Possuo um ambiente com Qmail-LDAP onde me foi solicitado > >> uma > >>>>> assinatura padrão em todos os email enviados. Eu sei que o ProcMail > >>> pode > >>>>> fazer isso. Mais estou com medo de overhead, afinal, são quase 9000 > >>>> contas > >>>>> e > >>>>> com uma movimentação diária gigantesca. > >>>>> > >>>>> Dessa forma, gostaria de saber com os senhores se alguém tem uma > >> idéia > >>>>> melhor e menos traumática para meu MTA... tipo.. alguma > >> funcionalidade > >>> do > >>>>> Qmail... ou alguma do LDAP.. enfim. Pensei até em dot-qmail também. > >>>>> > >>>>> Alguma luz?!? > >>>>> > >>>>> Obrigado pessoal!!!! > >>>>> > >>>>> Edilson Azevedo > >>>>> ------------------------- > >>>>> Histórico: http://www.fug.com.br/historico/html/freebsd/ > >>>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > >>>>> > >>>> > >>>> > >>>> -- > >>>> Eduardo Alvarenga > >>>> ------------------------- > >>>> Histórico: http://www.fug.com.br/historico/html/freebsd/ > >>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > >>>> > >>> > >>> > >>> -- > >>> Atenciosamente, > >>> > >>> Edilson Azevedo > >>> (12) 8156-5590 > >>> Mail: eazev...@bsd.com.br > >>> Gtalk: root.apro...@gmail.com > >>> Stephen Leacock - "I detest life-insurance agents: they always argue > >> that > >>> I > >>> shall some day die, which is not so." > >>> ------------------------- > >>> Histórico: http://www.fug.com.br/historico/html/freebsd/ > >>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > >>> > >> > >> > >> -- > >> Eduardo Alvarenga > >> ------------------------- > >> Histórico: http://www.fug.com.br/historico/html/freebsd/ > >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > >> > > > > > > > > > -- > Patrick Tracanelli > > FreeBSD Brasil LTDA. > Tel.: (31) 3516-0800 > 316...@sip.freebsdbrasil.com.br > http://www.freebsdbrasil.com.br > "Long live Hanin Elias, Kim Deal!" > > ------------------------- > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > -- Atenciosamente, Edilson Azevedo (12) 8156-5590 Mail: eazev...@bsd.com.br Gtalk: root.apro...@gmail.com Bob Hope - "I don't feel old. I don't feel anything till noon. That's when it's time for my nap." ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
