* Tobias Hachmer tobias@hachmer.de:
Hallo Patrick,
On 08/04/2015 08:46 PM, Patrick Ben Koetter wrote:
- Tobias Hachmer tobias@hachmer.de:
Leider meckert mein Mail-Server immernoch, dass die erste DKIM-Signatur nicht mehr korrekt sei und die Mail verändert wurde.
Wie sieht denn der Transportweg aus? Zu welchem Zeitpunkt ist die SIG noch intakt? Sind da mehr Komponenten im Transportweg drin, die die Mail bearbeiten? Versuch mal nur die wirklich erforderlichen Header in die Sig einzubeziehen und nicht alles, was bis drei nicht auf dem Baum ist. ;)
Da bin ich jetzt grade ehrlich gesagt etwas überfragt, wie ich genau prüfe zu welchem Zeitpunkt die Signatur noch intakt ist.
Wie rum hast Du denn die Transportkette aufgebaut?
- Du generierst eine Mail, - übergibst diese an Postfix - Postfix gibt sie an amavis - amavis packt die DKIM-Signatur drauf - Postfix gibt die Mail an mailman - und dann...?
Oder ist der Weg anders?
- Du generierst eine Mail, - übergibst diese an Postfix - Postfix gibt sie an mailman - mailman gibt die Mail Postfix zurück - Postfix gibt sie an amavis - amavis packt die DKIM-Signatur drauf - ...
Wie kann ich denn amavisd-new anweisen die DKIM-Signatur nur über gewisse Header-Zeilen zu erstellen anstatt über alles? Konnte dazu nichts finden.
Wenn du nicht explizit Anweisungen gegeben hast, bestimmte Header (nicht) zu signieren, dann passt das so. Amavis läuft mit brauchbaren Standardeinstellungen.
Da stehe ich aktuell auf dem Schlauch. Des Weiteren ist mir aufgefallen, dass hier auf der Liste der From-Header nicht mehr "Autor via Listenname" lautet sondern nur den ursprünglichen Autor enthält. Warum ist das so und die DKIM-Signaturen sind trotzdem korrekt?
Es war ein Versuch (so hatten wir das damals IIRC auch angekündigt) die Liste auch DMARC-konform zu betreiben, indem ein neuer Autor ins Spiel kommt und DMARC so nicht mehr ungültig sein kann.
Wir haben das wieder eingestellt, weil DMARC (glücklicherweise) in eine Revision ging und wir das Experiment deshalb nicht mehr weiterführen wollten und weil Alexander Wirt mich wegen des Experiments mit fiesen Flüchen belegt hatte. Denn dieser Test gefiel ihm gar nicht (mir auch nicht). Seitdem ich das zurückgestellt habe, ist mein Leben auch wieder viel besser. ;)
Achso, also wird das aktuell auch gar nicht mehr empfohlen?
Ja, genau. Steht das noch im Blog? Das sollte ich aktualisieren. :/
p@rick