Docs: add note on DKIM signing-limit security
authorJeremy Harris <jgh146exb@wizmail.org>
Thu, 17 May 2018 10:18:04 +0000 (11:18 +0100)
committerJeremy Harris <jgh146exb@wizmail.org>
Sat, 19 May 2018 21:12:56 +0000 (22:12 +0100)
doc/doc-docbook/spec.xfpt

index 44022291c8c368f422290a2f793c7059a5fa2f82..c4b3837da00c8616ebbf7bbf08c75f218df0f5b9 100644 (file)
@@ -39261,6 +39261,12 @@ strict enforcement should code the check explicitly.
 The number of signed body bytes. If zero ("0"), the body is unsigned. If no
 limit was set by the signer, "9999999999999" is returned. This makes sure
 that this variable always expands to an integer value.
+.new
+&*Note:*& The presence of the signature tag specifying a signing body length
+is one possible route to spoofing of valid DKIM signatures.
+A paranoid implementation might wish to regard signature where this variable
+shows less than the "no limit" return as being invalid.
+.wen
 
 .vitem &%$dkim_created%&
 UNIX timestamp reflecting the date and time when the signature was created.