Halo Patrick,
On 08/04/2015 10:15 PM, Patrick Ben Koetter wrote:
- Tobias Hachmer tobias@hachmer.de:
Hallo Patrick,
On 08/04/2015 08:46 PM, Patrick Ben Koetter wrote:
- Tobias Hachmer tobias@hachmer.de:
Leider meckert mein Mail-Server immernoch, dass die erste DKIM-Signatur nicht mehr korrekt sei und die Mail verändert wurde.
Wie sieht denn der Transportweg aus? Zu welchem Zeitpunkt ist die SIG noch intakt? Sind da mehr Komponenten im Transportweg drin, die die Mail bearbeiten? Versuch mal nur die wirklich erforderlichen Header in die Sig einzubeziehen und nicht alles, was bis drei nicht auf dem Baum ist. ;)
Da bin ich jetzt grade ehrlich gesagt etwas überfragt, wie ich genau prüfe zu welchem Zeitpunkt die Signatur noch intakt ist.
Wie rum hast Du denn die Transportkette aufgebaut?
- Du generierst eine Mail,
- übergibst diese an Postfix
- Postfix gibt sie an amavis
- amavis packt die DKIM-Signatur drauf
- Postfix gibt die Mail an mailman
- und dann...?
Bei mir ist der Weg folgendermaßen. Mein Mail-Server:
- Thunderbird (mein IMAP-Server) - Submission auf IMAP Server (ohne amavis) - Imap-Server hat als relayhost direktive in master.cf für submission service meinen MTA mit extra Port 10026 (mein MTA) - MTA nimmt Mail an 10026 - MTA gibt im pre-queue-filter modus die Mail an amavis (policy bank originating auf port 10030) - amavis erzeugt DKIM Signatur und gibt diese wieder an Postfix zurück - Postfix stellt die Mail an den MTA für die Mailing Liste zu ("fremder" Mail-Server für die erwähnte Mailing-Liste) - Postfix nimmt Mail entgegen (pre-queue-filter) - Amavis verarbeitet die Mail und gibt diese an Postfix zurück - Postfix übergibt die Mail per transport map an mailman:, also an /usr/lib/mailman/bin/postfix-to-mailman.py - Mailman gibt seine Mails an Postfix über Port 10026 ab) - Postfix nimmt mail auf Port 10026 im pre-queu-filter mode an und übergibt amavis - amavis verarbeitet (signiert per DKIM) und übergibt wieder an Postfix - Postfix stellt Mail wieder meinem MTA zu (mein MTA) - Postfix nimmt Mail angegen im pre-queue-filter mode übergibt an amavis - amavis verarbeitet (prüft dkim signaturen, etc.) und übergibt an postfix - postfix übergibt an IMAP Server per SMTP (Mein IMAP-Server) - Postfix nimmt Mail entgegen und liefert per LMTP an Dovecot
Wie kann ich denn amavisd-new anweisen die DKIM-Signatur nur über gewisse Header-Zeilen zu erstellen anstatt über alles? Konnte dazu nichts finden.
Wenn du nicht explizit Anweisungen gegeben hast, bestimmte Header (nicht) zu signieren, dann passt das so. Amavis läuft mit brauchbaren Standardeinstellungen.
Ja, quasi Standard Einstellungen (ist ein Ubuntu Trusty System):
# DKIM $enable_dkim_verification = 1; # enable DKIM signatures verification $enable_dkim_signing = 1; # load DKIM signing code, keys defined by dkim_key @dkim_signature_options_bysender_maps = ( { '.' => { ttl => 21*24*3600, c => 'relaxed/simple' } } );
Und natürlich die Keys.
Viele Grüße, Tobias