On 02/10/2012 10:08 AM, Ralf Hildebrandt wrote:
- Ralf Zimmermann r.zimmermann@siegnetz.de:
Wenn ich so drueber nachdenke, will ich DKIM auf Port 25 gar nicht abschalten. Wenn ich dies tue, dann werden eingehende Emails ja nicht mehr verifiziert.
Ah, du machst signing & verification im selben Daemon,ok
ein Problem ist, das opendkim nicht die wahre Absender IP sieht, sondern durch Postcreen immer 127.0.0.1.
Das klingt ja fast wie ein Bug.
Also, ich DENKE du kannst das lösen, indem du ZWEI Milter hast, einer der signiert, und einer der nur verifiziert.
Dann IN ETWA so machen:
smtpd pass - - - - - smtpd -o receive_override_options=no_address_mappings -o smtpd_proxy_filter=127.0.0.1:8025 -o smtpd_proxy_options=speed_adjust -o smtpd_milters=inet:127.0.0.1:12000
das ist der verifizierende Milter. smtpd_milters ist NUR in master.cf definiert.
Und beim smtpd für Kunden dann:
submission inet n - n - - smtpd -o smtpd_sasl_auth_enable=yes -o smtpd_sasl_security_options=noanonymous,noplaintext -o smtpd_sasl_tls_security_options=noanonymous -o smtpd_delay_reject=yes -o smtpd_recipient_restrictions=permit_mynetworks,permit_sasl_authenticated,reject -o smtpd_milters=inet:127.0.0.1:8891 -o milter_macro_daemon_name=ORIGINATING -o syslog_name=submission -o smtpd_tls_security_level=may
der hat dann KEIN postscreen, und für den milter ist ORIGINATING gesetzt. Ausserdem ists ein anderer.
Hab jetzt zum Test folgendes konfiguriert. Auf Port 8891 laeuft weiterhin opendkim zum verfizieren und signieren. Auf Port 8892 laeuft opendkim nur zur zum Verfizieren.
Allerdings kommt jetzt keiner der beiden milter mehr zum Zug. Weder bei SASL-Auth, noch bei eingehenden Emails.
Postfix ist folgendermassen konfiguriert.
#/etc/postfix/main.cf ... milter_protocol = 6 milter_default_action = tempfail #smtpd_milters = inet:localhost:8891 non_smtpd_milters = inet:localhost:8891 ...
#/etc/postfix/master.cf ... smtps inet n - - - - smtpd -o smtpd_tls_wrappermode=yes -o smtpd_sasl_auth_enable=yes -o smtpd_client_restrictions=permit_sasl_authenticated,reject -o smtpd_proxy_filter=[127.0.0.1]:10024 -o content_filter= -o smtpd_milters=inet:127.0.0.1:8891 -o milter_default_action=tempfail -o milter_protocol=6 -o milter_macro_daemon_name=ORIGINATING -o syslog_name=smtps smtp inet n - n - 1 postscreen smtpd pass - - n - - smtpd -o smtpd_proxy_filter=[127.0.0.1]:10024 -o smtpd_client_connection_count_limit=10 -o smtpd_proxy_options=speed_adjust -o content_filter= -o smtpd_milters=inet:127.0.0.1:8892 -o milter_default_action=tempfail -o milter_protocol=6 dnsblog unix - - n - 0 dnsblog tlsproxy unix - - n - 0 tlsproxy
Gruss Ralf