主页 / server / 问题 / 1164583
Accepted
Tyler Montney
Asked: 2024-08-31 13:45:06 +0800 CST

OpenDKIM TrustedHosts 的推荐配置

  • 772

正在将我的邮件服务器迁移到新主机。我遇到的一个问题是 OpenDKIM 不签名外发邮件(非内部邮件)。目前我的TrustedHosts文件如下:

127.0.0.1
::1
localhost
*.example.com

(其中 example.com 是我的邮件域名。)

我用手机通过 IMAP 客户端发送邮件。如果我添加手机的 IP,邮件就会正确签名。

我见过的许多教程都运行此布局,而且在迁移之前我一直都是这么配置的。我真的要对所有主机都使用通配符吗?推荐的配置是什么?

postfix

1 个回答

  1. Best Answer

    您不应该根据原始主机对消息进行签名,而应该只针对经过身份验证的用户进行签名。您的问题围绕着一个配置参数,并没有真正说明您的 Postfix 是如何配置的,以及 OpenDKIM 是如何集成到其中的。

    所有邮件用户代理(MUA) 都应通过单独的smtpd实例(smtps在端口 465 上)发送邮件。此实例应需要 SASL 身份验证,并且由于它是用于 SMTP 提交的隐式 TLSRFC 8314,3.3),因此它也受 TLS 保护。master.cf例如,您可以:

    smtps     inet  n       -       -       -       -       smtpd
  -o syslog_name=postfix/smtps
  -o smtpd_tls_wrappermode=yes
  -o smtpd_sasl_auth_enable=yes
  -o smtpd_sasl_type=dovecot
  -o smtpd_sasl_path=private/auth
  -o smtpd_sasl_security_options=noanonymous
  -o smtpd_sasl_local_domain=$myhostname
  -o smtpd_client_restrictions=permit_sasl_authenticated,reject

    通过添加以下参数来进一步限制您的用户不应使用其他用户的电子邮件地址可能是一个好主意:

      -o smtpd_sender_login_maps=hash:/etc/postfix/virtual
  -o smtpd_sender_restrictions=reject_sender_login_mismatch

    现在,由于来自此实例的所有邮件都经过了身份验证,因此无论 IP 地址如何,您都可以对其进行签名。以下配置是一个示例,它添加了 OpenDKIM 邮件过滤器(假设它正在监听)localhost:8891,如果邮件过滤器暂时不可用,则继续而不签名,并告诉邮件过滤器它应该在签名模式下工作(ORIGINATING)。

      -o smtpd_milters=inet:localhost:8891
  -o non_smtpd_milters=inet:localhost:8891
  -o milter_default_action=accept
  -o milter_macro_daemon_name=ORIGINATING

    (对于端口 25 上的实例上的入站邮件,smtpd您应该将milter_macro_daemon_name设置为VERIFYING。)

    • 2

相关问题