Configuração recomendada de OpenDKIM TrustedHosts

Você não deve assinar mensagens com base nos hosts de origem, mas apenas para usuários autenticados . Sua pergunta gira em torno de um único parâmetro de configuração e não diz realmente como seu Postfix está configurado e como o OpenDKIM está integrado a ele.

Todos os agentes de usuário de e-mail (MUA) devem enviar e-mails por meio de uma smtpdinstância separada ( smtpsna porta 465). Essa instância deve exigir autenticação SASL e, como é TLS implícito para envio SMTP ( RFC 8314, 3.3 ), também é protegida por TLS. Em master.cfvocê poderia ter, por exemplo:

smtps     inet  n       -       -       -       -       smtpd
  -o syslog_name=postfix/smtps
  -o smtpd_tls_wrappermode=yes
  -o smtpd_sasl_auth_enable=yes
  -o smtpd_sasl_type=dovecot
  -o smtpd_sasl_path=private/auth
  -o smtpd_sasl_security_options=noanonymous
  -o smtpd_sasl_local_domain=$myhostname
  -o smtpd_client_restrictions=permit_sasl_authenticated,reject

Pode ser uma boa ideia restringir ainda mais que seus usuários não devem usar endereços de e-mail de outros usuários, adicionando, por exemplo, estes parâmetros:

  -o smtpd_sender_login_maps=hash:/etc/postfix/virtual
  -o smtpd_sender_restrictions=reject_sender_login_mismatch

Agora, como todos os e-mails dessa instância são autenticados, você pode assiná-los independentemente do endereço IP. A configuração a seguir é um exemplo que adiciona o OpenDKIM milter assumindo que ele está escutando em localhost:8891, continua sem assinar caso o milter esteja temporariamente indisponível e informa ao milter que ele deve trabalhar no modo de assinatura ( ORIGINATING).

  -o smtpd_milters=inet:localhost:8891
  -o non_smtpd_milters=inet:localhost:8891
  -o milter_default_action=accept
  -o milter_macro_daemon_name=ORIGINATING

(Para o e-mail de entrada na smtpdinstância na porta 25, você deve definir milter_macro_daemon_namecomo VERIFYING.)