我们的开发人员喜欢按照自己的方式做事,不管给出的建议如何。其中之一是发送带有完全伪造的发件人地址的电子邮件
我想让 OpenDKIM 拒绝或删除它无法签名的电子邮件 - 这可能吗?
Jan 4 21:30:25 smtp2 opendkim: 12345: no signing table match for '[email protected]'
Jan 4 21:30:25 smtp2 opendkim: 12345: no signature data
SendReports yes除了在继续发送未签名的原件的同时生成一封新电子邮件返回给发件人之外,没有其他似乎相关的配置选项。
我已经探索过Canonicalization,但这无关。
问题:OpenDKIM 可以停止发送它无法签名的电子邮件吗?
我已经配置了 DKIM:
Dec 27 11:10:03 mailer opendkim[378]: OpenDKIM Filter v2.11.0 starting (args: -x /etc/opendkim.conf)
Dec 27 11:10:10 mailer postfix/postfix-script[551]: warning: symlink leaves directory: /etc/postfix/./makedefs.out
Dec 27 11:10:10 mailer postfix/postfix-script[719]: starting the Postfix mail system
Dec 27 11:10:10 mailer postfix/master[721]: daemon started -- version 3.4.13, configuration /etc/postfix
但是字母没有签名,我在25端口上连接,没有错误,告诉我哪个配置文件有问题?我的密钥正在验证中
opendkim-testkey: using default configfile /etc/opendkim.conf
opendkim-testkey: key loaded from /etc/postfix/dkim/mail.private
opendkim-testkey: checking key 'mail._domainkey.domain.com'
opendkim-testkey: key not secure
opendkim-testkey: key OK
完全按照本指南中的配置https://www.linuxbabe.com/mail-server/setting-up-dkim-and-spf
请告诉我以哪种方式查看以及设置可能出错的地方。在此先感谢大家!
grep 套接字 /etc/opendkim.conf ->
# Socket smtp://localhost
# ## Socket socketspec
#Socket inet:8892@localhost
#Socket inet:12301@localhost
Socket inet:8891@localhost
#Socket local:/run/opendkim/opendkim.sock
sammy@mailer:~$ grep -e 8891 -e unix /etc/postfix/main.cf
smtpd_milters = inet:localhost:8891
non_smtpd_milters = inet:localhost:8891
我正在尝试诊断 OpenDKIM 验证错误(请参阅此问题)。在野兽的肚子里,我正试图确保生成的密钥实际上是正确的。
我正在生成我的密钥opendkim-genkey -r -d example.com。这会生成两个文件。一个是 RSA 私钥(文件default.private):
-----BEGIN RSA PRIVATE KEY-----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-----END RSA PRIVATE KEY-----
一个生成 DKIM DNS 条目,我假设它包含公钥:
default._domainkey IN TXT ( "v=DKIM1; k=rsa; s=email; "
"p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDJy9S18vHtrIQNep9PogJfrKNLKKf2VSOvUwOzItlWkY3cRCFxscSNjfC4QHREcMeUuNO78wvQ+oOk+exLdyl2BggcA659Wi6v8X/+awLXpa9sB6viGPi8Zx560GbZu6jGLlEzcOaGDCYqdUxZIdAaOICDORFa3XAywHi87eQPMwIDAQAB" ) ; ----- DKIM key default for example.com
我假设“p=”条目是公钥,但如果是,我不知道如何验证它们是否匹配。我想我可以用 来做到这一点ssh-keygen -y -f default.private,但是,它的输出与 DNS 条目的“p =”部分中的输出明显不同(它甚至不是相同的长度):
# ssh-keygen -y -f default.private
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAAAgQDJy9S18vHtrIQNep9PogJfrKNLKKf2VSOvUwOzItlWkY3cRCFxscSNjfC4QHREcMeUuNO78wvQ+oOk+exLdyl2BggcA659Wi6v8X/+awLXpa9sB6viGPi8Zx560GbZu6jGLlEzcOaGDCYqdUxZIdAaOICDORFa3XAywHi87eQPMw==
那么,这里发生了什么?ssh-keygen 不是正确的方法吗(也许我应该用 OpenSSL 做点什么?)?“p=”不是公钥吗?或者,事实上,我的私钥和公钥不匹配?
谢谢!
PS,作为一个可能无关的旁白,我假设由 opendkim 生成的公钥对于前 34 个字符总是相同的MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQ——并且总是以IDAQAB.
所以我设置了邮件服务器,Roundcube 和 Sendmail 都按预期工作。
但是我的许多电子邮件都会在 Gmail 和其他人中发送垃圾邮件,所以我设置了 DKIM 身份验证并且成功了。
[旁注]出于某种原因,我将其设置为 SMTP 使用端口 25 而不是 587(其他人推荐的)。所以我不知道这是否会导致任何问题。
首先我用 Roundcube 测试它并向我的 Gmail 帐户发送了一封电子邮件,当我点击See OriginalGmail 电子邮件的部分时,它不显示 DKIM'PASS' with domain mydomain.com
但是当我使用 Sendmail 在终端中发送时,它确实显示在 DKIM 下:'PASS' with domain mydomain.com
我究竟做错了什么?Roundcube 是否有启用 DKIM 的插件?
https://pastebin.pl/view/5d87eb76 <- 这Orignal Message适用于 Sendmail 和 Roundcube。
我正在尝试在 CentOS 8 上使用 PostFix 配置 OpenDKIM。
我在中设置了以下内容/etc/opendkim.conf:
PidFile /run/opendkim/opendkim.pid
Mode sv
Syslog yes
SyslogSuccess yes
LogWhy yes
UserID opendkim:opendkim
Socket inet:8891@localhost
Umask 002
SendReports yes
SoftwareHeader yes
Canonicalization relaxed/relaxed
Selector default
KeyTable /etc/opendkim/KeyTable
SigningTable refile:/etc/opendkim/SigningTable
ExternalIgnoreList refile:/etc/opendkim/TrustedHosts
InternalHosts refile:/etc/opendkim/TrustedHosts
OversignHeaders From
我的/etc/opendkim/KeyTable文件如下:
mta1._domainkey.esfs.info esfs.info:mta1:/etc/opendkim/keys/esfs.info/mta1.private
[编辑]
我的/etc/opendkim/SigningTable文件包含:
*@esfs.info default._domainkey.esfs.info
[/编辑]
我的/etc/opendkim/TrustedHosts文件是:
127.0.0.1
::1
*.esfs.info
我使用以下命令生成了我的域密钥:
sudo opendkim-genkey -b 2048 -d your-domain.com -D /etc/opendkim/keys/your-domain.com -s mta1 -v
我将 , 的内容复制/etc/opendkim/keys/esfs.info/mta1.txt到我的 dns 条目中。
但是,当我测试密钥时,我会收到一条警告说它不安全:
$ sudo opendkim-testkey -d esfs.info -s mta1 -vvv
opendkim-testkey: using default configfile /etc/opendkim.conf
opendkim-testkey: checking key 'mta1._domainkey.esfs.info'
opendkim-testkey: key not secure
opendkim-testkey: key OK
当我检查服务器状态时,我得到以下信息:
$ sudo systemctl status opendkim
● opendkim.service - DomainKeys Identified Mail (DKIM) Milter
Loaded: loaded (/usr/lib/systemd/system/opendkim.service; enabled; vendor preset: disabled)
Active: active (running) since Mon 2021-02-08 23:15:12 GMT; 5 days ago
Docs: man:opendkim(8)
man:opendkim.conf(5)
man:opendkim-genkey(8)
man:opendkim-genzone(8)
man:opendkim-testadsp(8)
man:opendkim-testkey
http://www.opendkim.org/docs.html
Main PID: 80340 (opendkim)
Tasks: 3 (limit: 4947)
Memory: 2.8M
CGroup: /system.slice/opendkim.service
└─80340 /usr/sbin/opendkim -x /etc/opendkim.conf -P /run/opendkim/opendkim.pid
Feb 14 12:57:17 wp2.lostcarpark.com opendkim[80340]: CA0EC5E150: signing table references unknown key 'default._domainkey.esfs.info'
Feb 14 12:57:17 wp2.lostcarpark.com opendkim[80340]: CB0C55E150: signing table references unknown key 'default._domainkey.esfs.info'
Feb 14 12:57:17 wp2.lostcarpark.com opendkim[80340]: CBF885E150: signing table references unknown key 'default._domainkey.esfs.info'
Feb 14 12:57:17 wp2.lostcarpark.com opendkim[80340]: CCDDA5E150: signing table references unknown key 'default._domainkey.esfs.info'
以下来自/var/log/maillog:
Feb 14 14:52:24 wp2 postfix/pickup[279532]: warning: 374135E150: message has been queued for 1 days
Feb 14 14:52:24 wp2 postfix/pickup[279532]: 374135E150: uid=0 from=<root>
Feb 14 14:52:24 wp2 postfix/cleanup[279857]: 374135E150: message-id=<[email protected]>
Feb 14 14:52:24 wp2 opendkim[80340]: 374135E150: signing table references unknown key 'default._domainkey.esfs.info'
Feb 14 14:52:24 wp2 postfix/cleanup[279857]: 374135E150: milter-reject: END-OF-MESSAGE from localhost[127.0.0.1]: 4.7.1 Service unavailable - try again later; from=<[email protected]> to=<[email protected]>
希望以上内容对解决问题有所帮助。如果有人能指出我正确的方向,我真的很感激。
我设置了 Opendkim milter 以在我的机器上使用 postfix。现在电子邮件已正确签名和验证,即电子邮件源代码显示DKIM-Signature标题。
TXT权威 dns 上的记录是这样设置的:
┌───┐
│ # │ root > server > ~
└─┬─┘
└─> delv -t txt dkim-domain._domainkey.domain.eu
...
...
dkim-domain._domainkey.domain.eu. 1780 IN TXT "v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA8drA4hH8gJaVpLaHhtQonhpOeanMo/oPmrAVehP3lBYAjsoxifCIclLqJo7kk0maelqu9SIN9ttQ0boCzEiQBMO1" "c1P+Sj/PxphZB71c8VNhqMJ32VG6Ky3ZD4Tds39Vye/wsWdi+842MUT3Z2dJnxS2AAG4pSkjaytFPCs0J94OUQC0tDErbnsMZh+gg+7IsYgND8FR/cRDzpXjD0qFJk4Cnc1q27WorPAGAiRsRfLt9u" "gkYgQRwapnofmKJ3hk/L8096YR7gan60L4+RGojsx5ppTdIEhYasyK9MokefmVeNyGwVXTJchqG8vhcg9uGjGy9mPiPg4B2TQgEBPwyQIDAQAB"
...
...
所以乍一看一切都很好,但是当我在我的机器上运行诊断程序时,它会说:
┌───┐
│ # │ root > server > ~
└─┬─┘
└─> opendkim-testkey -d domain.eu -s dkim-domain -vvv
opendkim-testkey: using default configfile /etc/opendkim.conf
opendkim-testkey: checking key 'dkim-pistam._domainkey.pistam.eu'
opendkim-testkey: key not secure
opendkim-testkey: key OK
注意key not secure答案。我从这个答案中读到警告存在,因为 DNSSEC 未启用。但是我的域的 DNSSECdomain.eu已启用。根据DNSViz。
添加:
可能是我之前链接的主题具有误导性,因为我后来在这里阅读了一个答案,表明警告是由于对密钥对的权限过于宽松!我在密钥对及其文件夹上设置用户权限,如下所示:
┌───┐
│ # │ root > server > ~
└─┬─┘
└─> ls -l /etc/opendkim/keys/
total 8
-rw------- 1 opendkim opendkim 1675 Dec 30 08:45 dkim-rsa-private.key
-rw------- 1 opendkim opendkim 451 Dec 30 08:46 dkim-rsa-public.key
┌───┐
│ # │ root > server > ~
└─┬─┘
└─> ls -ld /etc/opendkim/keys/
drwx------ 2 opendkim opendkim 4096 Jan 1 07:18 /etc/opendkim/keys/
所以它应该是安全的......但它不是。
我第一次设置了opendkim。我在/var/log/mail.err文件中看到许多类似于以下内容的日志条目:
Oct 13 20:02:51 email opendkim[24304]: 0873142234: key retrieval failed (s=omega, d=ctdems.org): 'omega._domainkey.ctdems.org' record not found
据推测,这些是在我的 opendkim 软件检查传入邮件的签名并且无法检查签名时生成的,因为它无法在 DNS 中找到适当的 TXT 记录。
我不完全确定这些“错误”是否值得担心,或者是否应该或可以对它们做些什么。但是作为opendkim的新手,我并不完全确定。他们出现在mail.err文件中的事实让我想知道。
这些错误是“正常的”吗?是否应该将它们移至另一个日志文件?
我已经在 ubuntu 16.04 主机上设置了带有后缀的 opendkim (2.10)。根据日志,一切都很好(即没有错误),但邮件没有被签名。我可以看到 postfix 正在将消息传递给 OpenDKIM(因为我停止了 opendkim,postfix 抱怨它不存在),但我对 OpenDKIM 本身没有可见性。
这是我得到的配置:
opendkim.conf:
Canonicalization relaxed/relaxed
ExternalIgnoreList refile:/etc/opendkim/TrustedHosts
InternalHosts refile:/etc/opendkim/TrustedHosts
KeyTable refile:/etc/opendkim/KeyTable
LogWhy Yes
MinimumKeyBits 1024
Mode sv
PidFile /var/run/opendkim/opendkim.pid
SigningTable refile:/etc/opendkim/SigningTable
# Must agree with value in /etc/default/opendkim.
Socket inet:8891@localhost
## Postfix puts itself in a chroot jail and can't see this in the
## default location. So just use TCP.
# Socket local:/var/run/opendkim/opendkim.sock
Syslog Yes
SyslogSuccess Yes
TemporaryDirectory /var/tmp
UMask 022
UserID opendkim:opendkim
# Always oversign From (sign using actual From and a null From to prevent malicious
# signatures header fields (From and/or others) between the signer and the verifier)
OversignHeaders From
# Hashing Algorithm
SignatureAlgorithm rsa-sha256
# Auto restart when the failure occurs. CAUTION: This may cause a tight fork loops
AutoRestart Yes
键表:
nantes-1.p27.eu p27.eu:mail:/etc/opendkim/p27.eu.key
签名表:
*@p27.eu nantes-1.p27.eu
*@transport-nantes.com nantes-1.p27.eu
受信任的主机:
127.0.0.1
后缀/main.cf:
# [...]
# OpenDKIM
smtpd_milters = inet:127.0.0.1:8891
non_smtpd_milters = $smtpd_milters
milter_default_action = accept
# Postfix v3 so milter protocol 6 and not 2.
milter_protocol = 6
# There was a time, at least, when "auth_type" was not passed by default.
# I've not been able to determine if this still matters or not.
milter_mail_macros="i {mail_addr} {client_addr} {client_name} {auth_type} {auth_authen}"
测试:
发送邮件不会导致日志中出现错误,但该邮件未经过 dkim 签名。当我在本地测试时,我看到了:
[T] jeff@nantes-1:~ $ opendkim-testkey -d p27.eu -s mail -vvvv
opendkim-testkey: using default configfile /etc/opendkim.conf
opendkim-testkey: checking key 'mail._domainkey.p27.eu'
opendkim-testkey: key not secure
opendkim-testkey: key OK
[T] jeff@nantes-1:~ $ opendkim-testkey -d transport-nantes.com -s mail -vvv
opendkim-testkey: using default configfile /etc/opendkim.conf
opendkim-testkey: checking key 'mail._domainkey.transport-nantes.com'
opendkim-testkey: key not secure
opendkim-testkey: key OK
[T] jeff@nantes-1:~ $
有什么建议我做错了什么或如何进一步调试?
ubuntu 16.04 OpenDKIM 解决方案由此产生了 OpenDKIM:
/usr/sbin/opendkim -x /etc/opendkim.conf -u opendkim -P /var/run/opendkim/ope dkim.pid -p inet:8891@localhost
解决方案是/etc/opendkim.conf而不是/etc/opendkim/opendkim.conf. (在某处我读过/etc/opendkim/opendkim.conf,正确或不正确,我永远都读过一样。)
我们有几个电子邮件服务器通过 PostFix 发送合法电子邮件并使用 openDKIM。
最近我们有一些接收者声称无法验证 DKIM 记录,因此我们尝试了各种工具,例如 mail-tester.com、isnotspam.com 等,并看到相同的结果,一些电子邮件未通过 DKIM 检查,而另一些则通过了.
同一台服务器可以发送一封带有 DKIM 通行证的电子邮件,它可以发送另一封电子邮件并且 DKIM 失败。似乎是电子邮件本身决定了 DKIM 是否会通过。我每次都可以用相同的电子邮件复制它。
我无法理解这种行为,并想知道是否有人见过类似的问题。电子邮件本身如何导致 DKIM 失败?
我正在尝试使用 postfix、dovecot、amavis 和 opendkim 来设置服务器进行签名。
OpenDKIM 不会启动,这是journalctl -xe停止并启动 opendkim 后的输出:
Jul 21 21:54:17 mail systemd[1]: Starting OpenDKIM DomainKeys Identified Mail (DKIM) Milter...
-- Subject: A start job for unit opendkim.service has begun execution
-- Defined-By: systemd
-- Support: http://www.ubuntu.com/support
--
-- A start job for unit opendkim.service has begun execution.
--
-- The job identifier is 54385.
Jul 21 21:54:17 mail opendkim[108677]: opendkim: milter socket must be specified
Jul 21 21:54:17 mail systemd[1]: opendkim.service: Control process exited, code=exited, status=78/CONFIG
-- Subject: Unit process exited
-- Defined-By: systemd
-- Support: http://www.ubuntu.com/support
--
-- An ExecStart= process belonging to unit opendkim.service has exited.
--
-- The process' exit code is 'exited' and its exit status is 78.
Jul 21 21:54:17 mail systemd[1]: opendkim.service: Failed with result 'exit-code'.
-- Subject: Unit failed
-- Defined-By: systemd
-- Support: http://www.ubuntu.com/support
--
-- The unit opendkim.service has entered the 'failed' state with result 'exit-code'.
我的 OpenDKIM (/etc/opendkim.conf) 配置如下所示:
Syslog yes
LogResults yes
LogWhy yes
SyslogSuccess yes
UMask 002
Canonicalization relaxed/relaxed
# Only sign, don't verify (Amavis takes care of the verification)
Mode s
KeyTable /etc/opendkim/keytable
SigningTable refile:/etc/opendkim/signingtable
正如您在配置中看到的,我只希望 OpenDKIM 签名,而不是验证。