关闭 FTP

Question

Jérôme

Asked: 2018-04-19 14:43:54 +0800 CST2018-04-19 14:43:54 +0800 CST 2018-04-19 14:43:54 +0800 CST

Postfix + opendkim + spamassin：消息被签名两次

772

我已经让 Postfix + spamassassin 工作了，我正在介绍 opendkim。

我几乎就在那里，除了传出的消息被 DKIM 签名两次，这不仅没用，甚至使它们 DKIM 无效。

根据我收集到的信息，整个事情归结为 Postfix 调用 opendkim，然后将消息传递给 spamassassin，后者又将其返回给再次调用 opendkim 的 postfix。

这就是说，我不知道要对配置进行什么更改以防止这种情况发生。

我不认为 DKIM 配置本身是错误的。我遵循以下教程：

/etc/opendkim.conf

KeyTable                refile:/etc/postfix/dkim/keytable
SigningTable            refile:/etc/postfix/dkim/signingtable
ExternalIgnoreList      refile:/etc/postfix/dkim/TrustedHosts
InternalHosts           refile:/etc/postfix/dkim/TrustedHosts

/etc/postfix/dkim/TrustedHosts

127.0.0.1
::1
localhost
xxx.xxx.xxx.xxx (server IP)
xxxx:xxxx:... (server IPv6)
domain.tld
*.domain.tld

Postfix 配置如下。

我将这些行添加到 main.cf：

[...]
milter_default_action = accept
milter_protocol = 2
smtpd_milters = inet:localhost:8891, inet:localhost:8892
non_smtpd_milters = $smtpd_milters

我保持 master.cf 不变：

# ==========================================================================
# service type  private unpriv  chroot  wakeup  maxproc command + args
#               (yes)   (yes)   (no)    (never) (100)
# ==========================================================================
smtp      inet  n       -       y       -       -       smtpd
    -o content_filter=spamassassin
#smtp      inet  n       -       y       -       1       postscreen
#smtpd     pass  -       -       y       -       -       smtpd
#dnsblog   unix  -       -       y       -       0       dnsblog
#tlsproxy  unix  -       -       y       -       0       tlsproxy
#submission inet n       -       y       -       -       smtpd
#  -o syslog_name=postfix/submission
#  -o smtpd_tls_security_level=encrypt
#  -o smtpd_sasl_auth_enable=yes
#  -o smtpd_reject_unlisted_recipient=no
#  -o smtpd_client_restrictions=$mua_client_restrictions
#  -o smtpd_helo_restrictions=$mua_helo_restrictions
#  -o smtpd_sender_restrictions=$mua_sender_restrictions
#  -o smtpd_recipient_restrictions=
#  -o smtpd_relay_restrictions=permit_sasl_authenticated,reject
#  -o milter_macro_daemon_name=ORIGINATING
#smtps     inet  n       -       y       -       -       smtpd
#  -o syslog_name=postfix/smtps
#  -o smtpd_tls_wrappermode=yes
#  -o smtpd_sasl_auth_enable=yes
#  -o smtpd_reject_unlisted_recipient=no
#  -o smtpd_client_restrictions=$mua_client_restrictions
#  -o smtpd_helo_restrictions=$mua_helo_restrictions
#  -o smtpd_sender_restrictions=$mua_sender_restrictions
#  -o smtpd_recipient_restrictions=
#  -o smtpd_relay_restrictions=permit_sasl_authenticated,reject
#  -o milter_macro_daemon_name=ORIGINATING
#628       inet  n       -       y       -       -       qmqpd
pickup    unix  n       -       y       60      1       pickup
cleanup   unix  n       -       y       -       0       cleanup
qmgr      unix  n       -       n       300     1       qmgr
#qmgr     unix  n       -       n       300     1       oqmgr
tlsmgr    unix  -       -       y       1000?   1       tlsmgr
rewrite   unix  -       -       y       -       -       trivial-rewrite
bounce    unix  -       -       y       -       0       bounce
defer     unix  -       -       y       -       0       bounce
trace     unix  -       -       y       -       0       bounce
verify    unix  -       -       y       -       1       verify
flush     unix  n       -       y       1000?   0       flush
proxymap  unix  -       -       n       -       -       proxymap
proxywrite unix -       -       n       -       1       proxymap
smtp      unix  -       -       y       -       -       smtp
relay     unix  -       -       y       -       -       smtp
#       -o smtp_helo_timeout=5 -o smtp_connect_timeout=5
showq     unix  n       -       y       -       -       showq
error     unix  -       -       y       -       -       error
retry     unix  -       -       y       -       -       error
discard   unix  -       -       y       -       -       discard
local     unix  -       n       n       -       -       local
virtual   unix  -       n       n       -       -       virtual
lmtp      unix  -       -       y       -       -       lmtp
anvil     unix  -       -       y       -       1       anvil
scache    unix  -       -       y       -       1       scache
#
# ====================================================================
# Interfaces to non-Postfix software. Be sure to examine the manual
# pages of the non-Postfix software to find out what options it wants.
#
# Many of the following services use the Postfix pipe(8) delivery
# agent.  See the pipe(8) man page for information about ${recipient}
# and other message envelope options.
# ====================================================================
#
# maildrop. See the Postfix MAILDROP_README file for details.
# Also specify in main.cf: maildrop_destination_recipient_limit=1
#
maildrop  unix  -       n       n       -       -       pipe
  flags=DRhu user=vmail argv=/usr/bin/maildrop -d ${recipient}
#
# ====================================================================
#
# Recent Cyrus versions can use the existing "lmtp" master.cf entry.
#
# Specify in cyrus.conf:
#   lmtp    cmd="lmtpd -a" listen="localhost:lmtp" proto=tcp4
#
# Specify in main.cf one or more of the following:
#  mailbox_transport = lmtp:inet:localhost
#  virtual_transport = lmtp:inet:localhost
#
# ====================================================================
#
# Cyrus 2.1.5 (Amos Gouaux)
# Also specify in main.cf: cyrus_destination_recipient_limit=1
#
#cyrus     unix  -       n       n       -       -       pipe
#  user=cyrus argv=/cyrus/bin/deliver -e -r ${sender} -m ${extension} ${user}
#
# ====================================================================
# Old example of delivery via Cyrus.
#
#old-cyrus unix  -       n       n       -       -       pipe
#  flags=R user=cyrus argv=/cyrus/bin/deliver -e -m ${extension} ${user}
#
# ====================================================================
#
# See the Postfix UUCP_README file for configuration details.
#
uucp      unix  -       n       n       -       -       pipe
  flags=Fqhu user=uucp argv=uux -r -n -z -a$sender - $nexthop!rmail ($recipient)
#
# Other external delivery methods.
#
ifmail    unix  -       n       n       -       -       pipe
  flags=F user=ftn argv=/usr/lib/ifmail/ifmail -r $nexthop ($recipient)
bsmtp     unix  -       n       n       -       -       pipe
  flags=Fq. user=bsmtp argv=/usr/lib/bsmtp/bsmtp -t$nexthop -f$sender $recipient
scalemail-backend unix  -       n       n       -       2       pipe
  flags=R user=scalemail argv=/usr/lib/scalemail/bin/scalemail-store ${nexthop} ${user} ${extension}
dovecot   unix  -       n       n       -       -       pipe
  flags=DRhu user=vmail:vmail argv=/usr/lib/dovecot/deliver -f ${sender} -d ${recipient}
spamassassin unix -     n       n       -       -       pipe
  user=debian-spamd argv=/usr/bin/spamc -f -e /usr/sbin/sendmail -oi -f ${sender} ${recipient}

我发现的关于“DKIM 签名两次”问题的建议解释了它发生的原因，但该解决方案适用于与我不同的配置（例如，在Ubuntu 文档上）。他们建议添加no_milters到-o receive_override_options=一行。但是我没有这条线。我不使用amavis。而且我不知道如何进行，因为 master.cf 对我来说有点神秘。

问题：

是否正确识别了根本原因（由于 spamassassin 将消息重新发送到队列而导致双重签名）？
当消息返回队列时如何跳过 milters？
在 spamassassin 之后而不是之前签署 DKIM 会更好吗？如果是这样，将是什么配置？（我想smtpd_milters从 main.cf 中删除并添加-o smtpd_milters=...，receive_override_options=no_milters但它似乎不常见，所以我会说这没关系。）

3 个回答

Voted

Jérôme · Answer 1 · 2018-04-25T13:58:13+08:00

我想我设法找到了正确的配置。

保留上面的master.cf文件，这里是main.cf内容：

# DKIM
non_smtpd_milters = inet:localhost:8891
# DMARC
smtpd_milters = inet:localhost:8892

使用此配置，传出的邮件都经过 DKIM 签名，无论它们来自我的电子邮件客户端还是安装在服务器上的网络邮件。

并且 DMARC 会检查传入的消息。

后缀文档：

仅 SMTP 过滤器处理通过 Postfix smtpd(8) 服务器到达的邮件。它们通常用于过滤不需要的邮件并签署来自授权 SMTP 客户端的邮件。[...] 通过 Postfix smtpd(8) 服务器到达的邮件不会被接下来描述的非 SMTP 过滤器过滤。

非 SMTP 过滤器处理通过 Postfix sendmail(1) 命令行或 Postfix qmqpd(8) 服务器到达的邮件。它们通常仅用于对邮件进行数字签名。[...]

IIUC，如果我不使用 spamassassin，我应该将 opendkim 设置为 smtpd milter。但由于 spamassassin 使用 sendmail 重新发布消息，它通过 opendkim 作为非 smtpd milter，因此解决方案是将 opendkim 设置为仅 smtpd 过滤器。

我通过反复试验发现了这一点。我希望它可以帮助有类似问题的人，但我仍然对有根据的解释感兴趣。

顺便说一句，这里是我用来验证 DKIM 签名的在线测试人员的链接：

Peleion · Answer 2 · 2018-06-05T08:57:46+08:00

Peleion

2018-06-05T08:57:46+08:002018-06-05T08:57:46+08:00

感谢您的研究，我遇到了完全相同的问题。

我认为 main.cf 中的行应该是：

smtpd_milters = inet:127.0.0.1:8891 inet:127.0.0.1:8893
non_smtpd_milters =

尽管从您的帖子看起来您的 dmarc 正在 8892 上运行 - 我正在运行 Centos 7.5 / RHEL 7.5。

我认为没有必要在 spamassasin 之后运行 DKIM。我认为 DKIM 应该在所有 SMTPD 传入的 spamassasin之前运行，以便它可以读取结果并将其用于对垃圾邮件进行分类。我的 dmarc 无论如何都会忽略 127.0.0.1 。

这确实让 DKIM 将我的本地签名添加到来自 fetchmail（外部邮箱）的传入邮件中，显然然后通过（并且 dmarc 忽略）但我宁愿让 spamassassin 检查其他所有内容，并且看不到专门为那些发件人指定 SMTPD 选项的方法从 127.0.0.1

non_smtpd_milters 可能默认为空 - 我把它留给自己澄清。

如果您的 Postfix 大于 2.6，则 milter_protocol = 2 是不必要的。

1

Mikko Rantalainen · Answer 3 · 2022-06-29T02:00:16+08:00

Mikko Rantalainen

2022-06-29T02:00:16+08:002022-06-29T02:00:16+08:00

最好的解决方案似乎是/etc/postfix/master.cf像这样简单地修改行：

原始线路：

smtp      inet  n       -       y       -       -       smtpd
  -o content_filter=spamassassin

固定线路：

smtp      inet  n       -       y       -       -       smtpd
  -o content_filter=spamassassin -o receive_override_options=no_milters

也就是说，您只需添加 -o receive_override_options=no_milters到该spamassassin行。在将消息传递给 SpamAssassin 之前，这会跳过应用任何 milters。

由于 SpamAssassin 然后将邮件重新提交到没有 SMTP 的队列，因此您也希望将 milter 应用于non_smtpd_milters。

这允许对 SMTP 提交的邮件和本地提交的邮件进行正确签名，而无需对任何一个进行双重签名。

PS。只需运行man 5 master即可查看有关master.cf文件语法的完整文档。

0

Postfix + opendkim + spamassin：消息被签名两次

新安装后 postgres 的默认超级用户用户名/密码是什么？

SFTP 使用什么端口？

命令行列出 Windows Active Directory 组中的用户？

什么是 Pem 文件，它与其他 OpenSSL 生成的密钥文件格式有何不同？

如何确定bash变量是否为空？

Postfix + opendkim + spamassin：消息被签名两次

3 个回答

相关问题