71GA提出的问题 -server

71GA

Asked: 2021-01-05 03:52:25 +0800 CST

opendkim-testkey：密钥不安全

5

我设置了 Opendkim milter 以在我的机器上使用 postfix。现在电子邮件已正确签名和验证，即电子邮件源代码显示DKIM-Signature标题。

TXT权威 dns 上的记录是这样设置的：

┌───┐
│ # │ root > server > ~
└─┬─┘
  └─> delv -t txt dkim-domain._domainkey.domain.eu
...
...
dkim-domain._domainkey.domain.eu. 1780 IN TXT   "v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA8drA4hH8gJaVpLaHhtQonhpOeanMo/oPmrAVehP3lBYAjsoxifCIclLqJo7kk0maelqu9SIN9ttQ0boCzEiQBMO1" "c1P+Sj/PxphZB71c8VNhqMJ32VG6Ky3ZD4Tds39Vye/wsWdi+842MUT3Z2dJnxS2AAG4pSkjaytFPCs0J94OUQC0tDErbnsMZh+gg+7IsYgND8FR/cRDzpXjD0qFJk4Cnc1q27WorPAGAiRsRfLt9u" "gkYgQRwapnofmKJ3hk/L8096YR7gan60L4+RGojsx5ppTdIEhYasyK9MokefmVeNyGwVXTJchqG8vhcg9uGjGy9mPiPg4B2TQgEBPwyQIDAQAB"
...
...

所以乍一看一切都很好，但是当我在我的机器上运行诊断程序时，它会说：

┌───┐
│ # │ root > server > ~
└─┬─┘
  └─> opendkim-testkey -d domain.eu -s dkim-domain -vvv

opendkim-testkey: using default configfile /etc/opendkim.conf
opendkim-testkey: checking key 'dkim-pistam._domainkey.pistam.eu'
opendkim-testkey: key not secure
opendkim-testkey: key OK

注意key not secure答案。我从这个答案中读到警告存在，因为 DNSSEC 未启用。但是我的域的 DNSSECdomain.eu已启用。根据DNSViz。

添加：

可能是我之前链接的主题具有误导性，因为我后来在这里阅读了一个答案，表明警告是由于对密钥对的权限过于宽松！我在密钥对及其文件夹上设置用户权限，如下所示：

┌───┐
│ # │ root > server > ~
└─┬─┘
  └─> ls -l /etc/opendkim/keys/
total 8
-rw------- 1 opendkim opendkim 1675 Dec 30 08:45 dkim-rsa-private.key
-rw------- 1 opendkim opendkim  451 Dec 30 08:46 dkim-rsa-public.key

┌───┐
│ # │ root > server > ~
└─┬─┘
  └─> ls -ld /etc/opendkim/keys/
drwx------ 2 opendkim opendkim 4096 Jan  1 07:18 /etc/opendkim/keys/

所以它应该是安全的......但它不是。

71GA

Asked: 2020-12-30 11:15:55 +0800 CST

DKIM - 密钥对生成建议

0

我想知道是否可以像这样为 DKIM 生成密钥对（.key和.cert文件）：

openssl req -newkey rsa:2048 -sha256 -x509 -nodes -days 3650 -keyout dkim-rsa.key -out dkim-rsa.cert

通过阅读RFC 6376，我可以看到标准只要求 RSA 算法sha256和2048. 在我创建密钥之前，您还有其他建议吗？

71GA

Asked: 2020-12-29 01:11:56 +0800 CST

SPF 记录——为什么我们在 `+mx` 旁边使用 `+a`？

9

为什么管理员大多在 SPF 记录中使用+a并列？+mx这是一个例子：

@              10800 IN TXT     "v=spf1 +a +mx -all"

仅使用参数还不够，+mx例如：

@              10800 IN TXT     "v=spf1 +mx -all"

我认为 MX 记录的任务是发送电子邮件而不是 A 记录。谁能解释一下为什么有人会使用这个场景+a？

71GA

Asked: 2020-12-24 14:20:16 +0800 CST

Postfix -- 强制 TLS 加密不适用于端口 25“中继发送”

0

在我的 Postfix 服务器上，我使用端口465进行提交，使用端口25进行中继（“中继接收”和“中继发送”）。我使用993Dovecot 中配置的端口进行邮件“检索”。

当我设置 Postfix 时，我避免配置端口25和465内部/etc/postfix/main.cf，这仍然很简单：

smtpd_banner = $myhostname -------> "HELLO!"
biff = no
append_dot_mydomain = no
readme_directory = no
compatibility_level = 2
smtpd_relay_restrictions = permit_mynetworks permit_sasl_authenticated defer_unauth_destination
myhostname = mail.domain.eu
alias_maps = hash:/etc/postfix/aliases
alias_database = hash:/etc/postfix/aliases
myorigin = /etc/mailname
mydestination = $myhostname, tekpi-eu, localhost.localdomain, localhost
relayhost = 
mynetworks = 127.0.0.0/8
mailbox_size_limit = 0
recipient_delimiter = +
inet_interfaces = all
inet_protocols = all
mydomain = domain.eu
mynetworks_style = host
virtual_mailbox_base = /var/mail/
virtual_mailbox_domains = domain.eu
virtual_mailbox_maps = hash:/etc/postfix/virtual_mailboxes
virtual_gid_maps = static:997
virtual_uid_maps = static:997
virtual_alias_maps = hash:/etc/postfix/virtual_aliases

25单独配置 ports & 465in似乎更合乎逻辑/etc/postfix/master.cf。

smtp      inet  n       -       y       -       -       smtpd
  -o syslog_name=postfix/smtp
  -o smtp_use_tls=yes
  -o smtp_tls_loglevel=1
  -o smtp_tls_security_level=encrypt
  -o smtp_tls_wrappermode=yes
# -o smtp_tls_protocols=!SSLv2,!SSLv3,!TLSv1,!TLSv1.1
  -o smtp_tls_mandatory_protocols=!SSLv2,!SSLv3,!TLSv1,!TLSv1.1
  -o smtp_tls_cert_file=/etc/ssl/certs/server-rsa.cert
  -o smtp_tls_key_file=/etc/ssl/private/server-rsa.key
  -o smtp_tls_eccert_file=/etc/ssl/certs/server-ecdsa.cert
  -o smtp_tls_eckey_file=/etc/ssl/private/server-ecdsa.key
#
  -o smtpd_use_tls=yes
  -o smtpd_tls_security_level=may
  -o smtpd_tls_protocols=!SSLv2,!SSLv3,!TLSv1,!TLSv1.1
  -o smtpd_tls_cert_file=/etc/ssl/certs/server-rsa.cert
  -o smtpd_tls_key_file=/etc/ssl/private/server-rsa.key
  -o smtpd_tls_eccert_file=/etc/ssl/certs/server-ecdsa.cert
  -o smtpd_tls_eckey_file=/etc/ssl/private/server-ecdsa.key
  -o smtpd_sasl_auth_enable=yes
  -o smtpd_sasl_type=dovecot
  -o smtpd_sasl_path=smtpd
  -o smtpd_sasl_security_options=noanonymous
  -o smtpd_client_restrictions=permit_sasl_authenticated,reject
smtps     inet  n       -       y       -       -       smtpd
  -o syslog_name=postfix/smtps
  -o smtpd_use_tls=yes
  -o smtpd_tls_wrappermode=yes
  -o smtpd_tls_mandatory_protocols=!SSLv2,!SSLv3,!TLSv1,!TLSv1.1
  -o smtpd_tls_cert_file=/etc/ssl/certs/server-rsa.cert
  -o smtpd_tls_key_file=/etc/ssl/private/server-rsa.key
  -o smtpd_tls_eccert_file=/etc/ssl/certs/server-ecdsa.cert
  -o smtpd_tls_eckey_file=/etc/ssl/private/server-ecdsa.key
  -o smtpd_sasl_auth_enable=yes
  -o smtpd_sasl_type=dovecot
  -o smtpd_sasl_path=smtpd
  -o smtpd_sasl_security_options=noanonymous
  -o smtpd_client_restrictions=permit_sasl_authenticated,reject
...
...
...

AFAIK 在/etc/postfix/master.cf：

-o smtpd_以配置入站连接开头的命令
-o smtp_以配置出站连接开头的命令

此外，以下行之后以应用开头的参数-o仅修改端口25：

smtp      inet  n       -       y       -       -       smtpd

同样，在下面一行之后以应用开头的参数-o仅修改端口465：

smtps     inet  n       -       y       -       -       smtpd

如您所见，我已经在端口25 出站连接上配置了强制 TLS，但是当我向 Gmail 发送电子邮件时，邮件会标有警告：“此邮件未加密”：

如果我检查电子邮件标头，则第一个Received字段中没有加密迹象：

Delivered-To: [email protected]
Received: by 2002:a50:a414:0:0:0:0:0 with SMTP id u20csp5876423edb;
        Wed, 23 Dec 2020 10:04:30 -0800 (PST)
X-Google-Smtp-Source: ABdhPJz/H6LVTTELjEg4kyxfY5WvBpShW3zeBpEASR/dmz8FHcT8QBpRbaNbCdGaTON4PTFMXVds
X-Received: by 2002:a05:6402:366:: with SMTP id s6mr25548681edw.44.1608746670340;
        Wed, 23 Dec 2020 10:04:30 -0800 (PST)
ARC-Seal: i=1; a=rsa-sha256; t=1608746670; cv=none;
        d=google.com; s=arc-20160816;
        b=0GELxkiim2MQGGCIrMsuVfXIiuzCbPnx6q6q7Sxuhssnb6XxCc1dtmsdUCVaGorqL/
         NWMA9sBfBZkz2ZCb90AoAk4Tyi1YzYw3WVLblw2+xQkbq+JwuYwdAjEQj2i2EJlBI3Zk
         KyYC2zfZqMkWMNRL27bI6pYwNtRYM7FifUeKmxaGuGuXv+7KY9wkrv9LTGI3a/UN634r
         Mqhog1Em8L8uLys0tDlj9GB08ZO52pPw01vJNU1AXqwOeRVznF9FPwfzP6Pn1drc4cOM
         x2vA5NJ+TgguOhqhgTSMW1hQrhNpyku3bYRW9PKQChZdHMowtSotpldYy1sJCf/VYeuA
         6fGg==
ARC-Message-Signature: i=1; a=rsa-sha256; c=relaxed/relaxed; d=google.com; s=arc-20160816;
        h=content-language:content-transfer-encoding:mime-version:user-agent
         :date:message-id:subject:from:to;
        bh=ZnLGQleFTlvpbWbWBAKrwartxhkzwpbLw0l/ILVPQLo=;
        b=Lt/88Ansftfa790xIUJbRfnuHWadZtBq5QHPDlDjJeGLBlmrLiyfIlzG5xwZTkqZmY
         XPImCgNHC+JfBDOhTFbiyahI7OMMAJGJAZDrr8K60TCztYqKE4Gkr6SZ7h3nAZVjLE8Y
         QBr0NOHZSQkMac/3WKOU86NtPEJwIu53Is71ucdpvNvwj8U5XHDDK9zUw8rcO9XF9JL+
         VUXTOhHmpEqhFgZDq+ldLANLkML+Ix/qvAnyb6JSss+rfsJO0h3Q2nh/LSQzbTFeWBbq
         oGksWfsCX7L0cfSij1GLWwYJ+1RrT/UBdb9p6OIK7sV2IpzAFmLgdRHoV2XHuB3XYSDy
         8gyw==
ARC-Authentication-Results: i=1; mx.google.com;
       spf=pass (google.com: domain of [email protected] designates 2a01:4f8:211:2a4::2 as permitted sender) [email protected];
       dmarc=pass (p=QUARANTINE sp=QUARANTINE dis=NONE) header.from=domain.eu
Return-Path: <[email protected]>
Received: from mail.domain.eu ([2a01:4f8:211:2a4::2])
        by mx.google.com with ESMTP id j10si12321635ejf.404.2020.12.23.10.04.30
        for <[email protected]>;
        Wed, 23 Dec 2020 10:04:30 -0800 (PST)
Received-SPF: pass (google.com: domain of [email protected] designates 2a01:4f8:211:2a4::2 as permitted sender) client-ip=2a01:4f8:211:2a4::2;
Authentication-Results: mx.google.com;
       spf=pass (google.com: domain of [email protected] designates 2a01:4f8:211:2a4::2 as permitted sender) [email protected];
       dmarc=pass (p=QUARANTINE sp=QUARANTINE dis=NONE) header.from=domain.eu
Received: from [192.168.64.100] (188-230-147-194.dynamic.t-2.net [188.230.147.194])
    by mail.domain.eu (Postfix) with ESMTPSA id B486F15A1315
    for <[email protected]>; Wed, 23 Dec 2020 19:04:29 +0100 (CET)
To: [email protected]
From: Z L <[email protected]>
Subject: TEST (mandatory TLS): domain --> gmail
Message-ID: <[email protected]>
Date: Wed, 23 Dec 2020 19:04:29 +0100
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:78.0) Gecko/20100101
 Thunderbird/78.6.0
MIME-Version: 1.0
Content-Type: text/plain; charset=utf-8; format=flowed
Content-Transfer-Encoding: 7bit
Content-Language: en-US

CONTENT TEXT

当我向自己发送电子邮件时，也没有加密的迹象。这是一个示例电子邮件源：

Return-Path: <[email protected]>
X-Original-To: [email protected]
Delivered-To: [email protected]
Received: from [192.168.64.100] (unknown [188.230.147.194])
    by mail.domain.eu (Postfix) with ESMTPSA id 3BE6015A132B
    for <[email protected]>; Wed, 23 Dec 2020 23:03:15 +0100 (CET)
To: [email protected]
From: Z L <[email protected]>
Subject: TEST (mandatory TLS): domain --> domain
Message-ID: <[email protected]>
Date: Wed, 23 Dec 2020 23:03:14 +0100
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:78.0) Gecko/20100101
 Thunderbird/78.6.0
MIME-Version: 1.0
Content-Type: text/plain; charset=utf-8; format=flowed
Content-Transfer-Encoding: 7bit
Content-Language: en-US

CONTENT TEXT

强制 TLS 适用于 port 465。我错过了什么配置，所以它不能在端口上工作25？如何解决此问题以在25 出站连接上使用强制 TLS 或机会 TLS？

71GA

Asked: 2020-12-22 05:50:07 +0800 CST

问题：

我有一个运行 dovecot 的 Postfix 服务器。正在侦听的端口是25，465最后 993两个具有强制性 TLS。其他“电子邮件”端口没有监听。

这意味着客户的 MUA 必须使用端口465用于电子邮件“提交”和端口993用于电子邮件“检索”。这意味着每个端口一个功能（很好）。

25另一方面，端口具有三个功能，即电子邮件“中继发送”电子邮件“中继接收”和电子邮件“提交” （一团糟）。

其他两个端口已经要求强制 TLS，现在我也必须配置端口25来做到这一点。我知道 Postfix 用于配置此端口，因为它是 SMTP 端口。我也明白，/etc/postfix/master.cf我可以使用-o下面一行下的参数来配置端口25：

smtp      inet  n       -       y       -       -       smtpd

我们在现场有一些嵌入式设备不能说 TLS，只能通过端口“提交”25电子邮件。这就是为什么这个端口可以使用机会 TLS 但不能使用强制 TLS。

我已经为入站请求设置了机会 TLS，即电子邮件“提交”和电子邮件“中继接收”，如下所示：

smtp      inet  n       -       y       -       -       smtpd
  -o syslog_name=postfix/smtp
#
  -o smtpd_use_tls=yes
  -o smtpd_tls_security_level=may
  -o smtpd_tls_protocols=!SSLv2,!SSLv3,!TLSv1,!TLSv1.1
  -o smtpd_tls_cert_file=/etc/ssl/certs/server-rsa.cert
  -o smtpd_tls_key_file=/etc/ssl/private/server-rsa.key
#
  -o smtpd_sasl_auth_enable=yes
  -o smtpd_sasl_type=dovecot
  -o smtpd_sasl_path=smtpd
  -o smtpd_sasl_security_options=noanonymous
  -o smtpd_client_restrictions=permit_sasl_authenticated,reject

注意：
以配置开头的参数-o smtpd_只配置入站请求，而以-o smtp_ （目前我没有）开头的参数配置出站请求。

问题：

现在我想知道...

我应该为出站请求设置强制 TLS，即在端口上“中继发送”25吗？可能会出现什么问题？
如果我为出站请求设置强制 TLS，即在端口上“中继发送”并且某些目标服务器在其“中继接收”端口25上不支持强制 TLS 或机会 TLS，会发生什么情况？25
是否应该为出站请求设置机会 TLS，即端口上的“中继发送”25以避免问题？
我知道机会性 TLS 不是 100% 安全的，而且我知道可以使用 DANE 对其进行保护，但 DANE 究竟保护了谁？“中继发送者”还是“中继接收者”？那么应该为入站或出站请求设置 DANE 吗？

71GA

Asked: 2020-12-19 10:14:26 +0800 CST

电子邮件“提交”和“接力”活动

-2

我想深入了解电子邮件“提交”和“中继”一词的底部。那么这到底是什么意思呢？

在我的脑海中，我有两种可能的情况：

场景 1

这些术语的含义是：

"relaying" ⟹ "使用 SMTP 协议发送邮件事件"
"提交" ⟹ "使用 SMTP 协议接收事件"

在这种情况下，我必须始终告诉我指的是电子邮件链中的谁。

场景 2：

这些术语的含义是：

“中继” ⟹ “电子邮件通过使用 SMTP 协议的任何设备的事件（电子邮件被接收和发送，即转发）”
"提交" ⟹ "使用 SMTP 协议发送事件"

那么哪种情况是正确的呢？

71GA

Asked: 2020-12-15 12:46:36 +0800 CST

电子邮件传输示例

-3

RFC 标准从字面上强制我们接受端口上的未加密连接25。要了解原因，我们必须了解电子邮件的工作原理。但是电子邮件是一个相当复杂的主题，我创建了这个示例和一个表格来尝试理解所有内容。

任何人都可以阅读并告诉我我在解释的任何部分是否有误吗？因为我不太确定我对这个话题的理解是否正确。

例子

当用户（发件人）通过“邮件用户代理” （MUA）发送电子邮件时，该电子邮件会立即转移到位于或不在单独机器上的“邮件提交代理” （MSA）。MSA 对电子邮件进行预处理并将其交给同一台机器上的“邮件传输代理” (MTA)。然后 MTA（发件人）使用 DNS 并确定应将电子邮件发送到哪个 MTA（收件人）。这部分传输仅通过 port 完成25。当 MTA（接收者）收到电子邮件时，它会将其处理到同一台机器上的 MSA，然后用户（接收者）可以使用 MUA 阅读电子邮件。

MUA & MSA 和 MSA & MTA 之间的通信可以使用安全端口，但 MTA 和 MTA 之间的连接不能。下表显示了使用或可以使用的协议以及上述示例的每个步骤可以使用的端口。我们还使用 ✘ 和 ✔ 来表示现代设置应该使用什么。

#	发件人	接收者	我们可以使用的协议	各自协议的端口
1	MUA	MSA	(✘) SMTP (✔) SMTPS	(✘) `25` (✔)`587`
2	MSA	MTA	(✘) SMTP (✔) SMTPS	(✘) `25` (✔)`587`
3	MTA	MTA	(✔) SMTP	(✔)`25`
4	MTA	MSA	(✔) SMTP	(✔)`25`
5	MSA	MUA	(✘) POP3 (✘) POP3S (✘) IMAP (✔) IMAPS	(✘) `110` (✘) `995` (✘) `143` (✔)`993`

opendkim-testkey：密钥不安全

DKIM - 密钥对生成建议

SPF 记录——为什么我们在 `+mx` 旁边使用 `+a`？

Postfix -- 强制 TLS 加密不适用于端口 25“中继发送”

端口 25“中继发送”和 TLS

问题：

问题：

电子邮件“提交”和“接力”活动

场景 1

场景 2：

对“dovecot”使用“postfix”用户

电子邮件传输示例

例子

新安装后 postgres 的默认超级用户用户名/密码是什么？

SFTP 使用什么端口？

命令行列出 Windows Active Directory 组中的用户？

什么是 Pem 文件，它与其他 OpenSSL 生成的密钥文件格式有何不同？

如何确定bash变量是否为空？

71GA's questions

问题：

问题：

场景 1

场景 2：

例子