Probleme mit dem signieren ausgehender mails mit Open-DKIM

Carsten Laun-De Lellis carsten.delellis at delellis.net
Di Mär 22 17:00:19 CET 2016 

Hallo Stephan

Ist eine Idee, über die ich auch schon nachgedacht habe. Haken an der Sache ist aber, dass ich das ganze für mehr als eine Domain machen möchte und die Konfiguration dafür in open-dkim eigentlich recht einfach aussieht. In amavis müsste ich da wohl unterschiedliche policy-banks erstellen und am Ende des Tages wird dann amavis auch die eierlegende Wollmichsau, die dann auch schwer wieder aufzudröseln ist, wenn notwendig.

Mit der open-dkim Konfiguration müsste ich nur ein paar Zeilen in postfix auskommentieren.

Also, wenn mir hier jemand helfen könnte, würde ich mich freuen.

Mit freundlichem Gruß

Carsten Laun-De Lellis

Hauptstrasse 13
D - 67705 Trippstadt

Phone: +49 6306 992140
Mobile: +49 151 275 30865
Fax:     +49 6306 992142
email: carsten.delellis at delellis.net<mailto:carsten.delellis at delellis.net>

http://www.linkedin.com/in/carstenlaundelellis

---------------------------------------------------

Diese E-Mail könnte vertrauliche und/oder rechtlich geschützte Informationen enthalten. Wenn Sie nicht der richtige Adressat sind oder diese E-Mail irrtümlich erhalten haben, informieren Sie bitte sofort den Absender und vernichten Sie diese Mail. Das unerlaubte Kopieren sowie die unbefugte Weitergabe dieser Mail ist nicht gestattet.

This e-mail may contain confidential and/or privileged information. If you are not the intended recipient (or have received this e-mail in error) please notify the sender immediately and destroy this e-mail. Any unauthorised copying, disclosure or distribution of the material in this e-mail is strictly forbidden.

From: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] On Behalf Of Hendl Stephan
Sent: Dienstag, 22. März 2016 16:33
To: Diskussionen und Support rund um Postfix <postfixbuch-users at listen.jpberlin.de>
Subject: AW: Probleme mit dem signieren ausgehender mails mit Open-DKIM

Hallo Carsten,

das löst vielleicht dein Postfix-open-dkim-Problem nicht, aber warum lässt Du Amavis nicht die ausgehenden Mails signieren? Da Du Amavis ja eh benutzt wäre das doch einfacher ;-) Hier der Auszug aus unserer /etc/amavis/conf.s/50-user:

$enable_dkim_verification = 1;  # enable DKIM signatures verification
$enable_dkim_signing = 1;       # load DKIM signing code,
dkim_key('meine.domain.de', 'main', '/var/lib/amavis/dkim/meine.domain.de.dkim.pem');

Ausführlich beschrieben ist das u. a. hier: https://sys4.de/de/blog/2013/09/02/amavisd-new-dkim-howto/

Viele Grüße
i. A. Stephan Hendl

--
Dr. Stephan Hendl
Landtag Brandenburg
Verwaltung
Referat V2
Alter Markt 1
14467 Potsdam
Tel.: (0331) 966 1292
Fax.: (0331) 966 99 1292
stephan.hendl at landtag.brandenburg.de<mailto:stephan.hendl at landtag.brandenburg.de>

Von: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von Carsten Laun-De Lellis
Gesendet: Dienstag, 22. März 2016 15:40
An: postfixbuch-users at listen.jpberlin.de<mailto:postfixbuch-users at listen.jpberlin.de>
Betreff: Probleme mit dem signieren ausgehender mails mit Open-DKIM

Hallo, alle zusammen

Ich habe folgendes Problem:

Ich nehme emails von einem Exchange Server über port 25 als mailgateway entgegen für die Domänen example1.com und example2.com, welche ich gerne mit dem passenden dkim key signieren möchte:

Ich habe gemäß der Anleitung https://www.digitalocean.com/community/tutorials/how-to-install-and-configure-dkim-with-postfix-on-debian-wheezy opendkim für mehrere Domänen konfiguriert:

/etc/opendkim.conf

Syslog                                      yes
SyslogSuccess             yes
LogWhy                        yes
UMask                         002
AutoRestart             Yes
AutoRestartRate         10/1h
Canonicalization        relaxed/simple

ExternalIgnoreList      refile:/etc/dkimkeys/TrustedHosts
InternalHosts           refile:/etc/dkimkeys/TrustedHosts
KeyTable                refile:/etc/dkimkeys/KeyTable
SigningTable            refile:/etc/dkimkeys/SigningTable

Mode                    sv
PidFile                 /var/run/opendkim/opendkim.pid
SignatureAlgorithm      rsa-sha256

UserID                  opendkim:opendkim
SOCKET                  inet:8891 at localhost


/etc/dkimkeys/TrustedHosts

127.0.0.1
localhost
ip.exchange.server
ip.postfix.server

*.example1.com
*.example2.com


/etc/dkimkeys/SigningTable

*@example1.com<mailto:*@example1.com>                   mail._domainkey.example1.com
*@example2.com<mailto:*@example2.com>                   mail._domainkey.example2.com

/etc/dkimkeys/KeyTable

mail._domainkey.example1.com                     example1.com:mail:/etc/dkimkeys/keys/ example1.com / example1.com.private
mail._domainkey.example2.com                     example2.com:mail:/etc/dkimkeys/keys/ example2.com / example2.com.private

Die Keys sollten soweit eigentlich o.k. sein, da ich bei einem dkim check mit online tools ein ok bekomme. Dies deutet darauf hin, dass der Eintrag im DNS und der Schlüssel soweit passen.

In Postfix habe ich den milter über den folgenden Eintrag in die /etc/postfix/main.cf eingebunden.

milter_default_action = accept
milter_protocol = 6
smtpd_milters=inet:localhost:8891
non_smtpd_milters=inet:localhost:8891


Ein lsof -i :8891 liefert folgenden output:

COMMAND   PID     USER   FD   TYPE DEVICE SIZE/OFF NODE NAME
opendkim 6961 opendkim    4u  IPv4  69527      0t0  TCP localhost:8891 (LISTEN)

Ich kann also davon ausgehen, dass open-dkim läuft auf dem port 8891.

Wenn ich nun ein grep -i dkim /var/log/mail.log ausführe dann bekomme ich einen output der mir anzeigt, dass eingehende emails von amavis auf dkim keys überprüft werden.

Bsp.:
Mar 22 15:18:08 RV1008 amavis[5481]: (05481-09) Passed CLEAN {RelayedOutbound}, ORIGINATING LOCAL [144.76.82.147]:50211 [2607:f8b0:400d:c04::230] <samba-bounces at lists.samba.org<mailto:samba-bounces at lists.samba.org>> -> <user1 at example2.com<mailto:user1 at example2.com>>, Message-ID: <CAAqWYyFsd3rmami2fMUkR6KdpWD3X9pUQd4MHSr_R_kkQkm6DQ at mail.gmail.com<mailto:CAAqWYyFsd3rmami2fMUkR6KdpWD3X9pUQd4MHSr_R_kkQkm6DQ at mail.gmail.com>>, mail_id: 8mBNSew2gnNq, Hits: 0.242, size: 11501, queued_as: 0184C780094, dkim_sd=2954282:lists.samba.org, 6505 ms

Für ausgehende emails finde ich keinerlei Einträge im maillog die auf irgendwelche Aktivitäten hindeuten, dass open-dkim versucht die emails zu signieren.

Was mache ich da falsch?

Ach ja, ich setze Ubuntu 15.10 ein mit postfix 3.0.4.

Für Hinweise wäre ich wirklich dankbar.

Mit freundlichem Gruß

Carsten Laun-De Lellis

Hauptstrasse 13
D - 67705 Trippstadt

Phone: +49 6306 992140
Mobile: +49 151 275 30865
Fax:     +49 6306 992142
email: carsten.delellis at delellis.net<mailto:carsten.delellis at delellis.net>

http://www.linkedin.com/in/carstenlaundelellis

---------------------------------------------------

Diese E-Mail könnte vertrauliche und/oder rechtlich geschützte Informationen enthalten. Wenn Sie nicht der richtige Adressat sind oder diese E-Mail irrtümlich erhalten haben, informieren Sie bitte sofort den Absender und vernichten Sie diese Mail. Das unerlaubte Kopieren sowie die unbefugte Weitergabe dieser Mail ist nicht gestattet.

This e-mail may contain confidential and/or privileged information. If you are not the intended recipient (or have received this e-mail in error) please notify the sender immediately and destroy this e-mail. Any unauthorised copying, disclosure or distribution of the material in this e-mail is strictly forbidden.

-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20160322/e352dfc7/attachment.html>

Mehr Informationen über die Mailingliste Postfixbuch-users