有许多关于如何在您最喜欢的 Linux 风格上设置 OpenDMARC 的教程,但它们都侧重于单服务器配置。我的目标是保留备用辅助 MX 服务器,但强制RejectFailures true要求 DMARCp=reject真正得到满足。
这导致了一个问题:示例配置具有TrustedAuthservIDs HOSTNAME上行 SPF 和 DKIM 源。如果这用于列出辅助 MX 服务器,它将允许在具有单个伪造标头的主 MX 上完全绕过 OpenDMARC 检查。
Authentication-Results: <HOSTNAME>;
dkim=pass (1024-bit key; unprotected) header.d=example.com [email protected];
如何在没有此缺陷的情况下配置主 MX 和辅助 MX 之间的信任?
这是对 Server Fault 范围内关于 Security Stack Exchange的另一个问题的重写。
简而言之:
如何配置这个?
您可以按照教程进行 (SPF,) OpenDKIM 和 OpenDMARC 的初始配置。
(此后,Postfix 将 OpenDKIM 和 OpenDMARC 配置为 SMTP milters。)
所有 MX 服务器的OpenDMARC
/etc/opendmarc.conf配置更改:使用 OpenDMARC milter 进行连接阶段拒绝(默认为
false):不要相信来自 pypolicyd-spf 或替代方案的外部 SPF 检查。执行自己的检查:
OpenDKIM必须配置为添加标头,即使它已经存在。
/etc/opendkim.conf:一旦每个 MX 都配置了 #1-#3,主 MX 上的 OpenDMARC 就可以信任其他 MX 服务器所做的检查;伪造的邮件应该已经被辅助 MX 拒绝。不要在 上列出它们
TrustedAuthservIDs,因为它容易被伪造标题。还有另opendmarc.conf一种更适合这种情况的选择:...并在该新配置文件中列出辅助 MX 服务器的 IP 地址。