Hallo,
nicht direkt Postfix spezifisch aber vielleicht hat jemand einen Tipp oder einen Link.
Ich frage mich gerade, ob es "schädlich" ist, eine DKIM Signatur in eine ausgehende Mail zu packen, ohne dass es einen entsprechenden DNS Eintrag gibt?
Hintergrund: ein Mailserver für viele Domains aber ohne direkte Kontrolle über die DNS Zone und damit könnte es passieren, dass Benutzer den Eintrag im DNS überhaupt nicht vornehmen.
Eine zweite Variante: Falls obiges blöd ist, könnte ich eine generische Signatur mit entsprechendem DNS Key generieren, deren Domain (d=) aber nicht dem Absender entspricht? Wie schädlich wäre das in der Praxis? DMARC hätte damit wohl mindestens ein Problem?
Danke, Wolfgang
On 01.07.2020 14:45, Wolfgang Rosenauer wrote:
nicht direkt Postfix spezifisch aber vielleicht hat jemand einen Tipp oder einen Link.
Ich frage mich gerade, ob es "schädlich" ist, eine DKIM Signatur in eine ausgehende Mail zu packen, ohne dass es einen entsprechenden DNS Eintrag gibt?
das sollte man tunlichst nicht tun;
eine DKIM-Signatur ohne entsprechende DNS-Einträge ist das Pendant eines SSL-Zertifikates ohne dazupassenden Root-Token im Browser ...
im Fall von SSL würde Dir der Browser zwar erlauben dies zu umgehen, aber das tut man nur, wenn man weiß was man tut; im Fall von DKIM, würde ich derartiges nicht mal in eine Queue stellen oder irgendwie kennzeichnen, sondern gnadenlos rejecten;
Walter
Hi,
Walter H. walter.h@mathemainzel.info hat am 01.07.2020 16:51 geschrieben:
On 01.07.2020 14:45, Wolfgang Rosenauer wrote:
nicht direkt Postfix spezifisch aber vielleicht hat jemand einen Tipp oder einen Link.
Ich frage mich gerade, ob es "schädlich" ist, eine DKIM Signatur in eine ausgehende Mail zu packen, ohne dass es einen entsprechenden DNS Eintrag gibt?
das sollte man tunlichst nicht tun;
eine DKIM-Signatur ohne entsprechende DNS-Einträge ist das Pendant eines SSL-Zertifikates ohne dazupassenden Root-Token im Browser ...
im Fall von SSL würde Dir der Browser zwar erlauben dies zu umgehen, aber das tut man nur, wenn man weiß was man tut; im Fall von DKIM, würde ich derartiges nicht mal in eine Queue stellen oder irgendwie kennzeichnen, sondern gnadenlos rejecten;
Genau deswegen die Frage. Ich habe in keinem RFC etwas gefunden, wie in dem Fall reagiert werden sollte. Allerdings habe ich bei GMail beobachtet, dass sie in dem Fall offenbar DKIM: neutral (no-key) bewerten.
Und auch folgende GSuite Hilfeseite hat mich auf die Idee gebracht: https://support.google.com/a/answer/174124?hl=de und dort der Absatz: "Wenn Sie keinen eigenen DKIM-Domainschlüssel generieren, werden alle ausgehenden Nachrichten in Gmail mit diesem DKIM-Standardschlüssel signiert: d=*.gappssmtp.com"
D.h. Du würdest das direkt rejecten?
Wolfgang
Korrektur
Wolfgang Rosenauer wolfgang.rosenauer@an-netz.de hat am 01.07.2020 17:41 geschrieben:
Hi,
Walter H. walter.h@mathemainzel.info hat am 01.07.2020 16:51 geschrieben:
On 01.07.2020 14:45, Wolfgang Rosenauer wrote:
nicht direkt Postfix spezifisch aber vielleicht hat jemand einen Tipp oder einen Link.
Ich frage mich gerade, ob es "schädlich" ist, eine DKIM Signatur in eine ausgehende Mail zu packen, ohne dass es einen entsprechenden DNS Eintrag gibt?
das sollte man tunlichst nicht tun;
eine DKIM-Signatur ohne entsprechende DNS-Einträge ist das Pendant eines SSL-Zertifikates ohne dazupassenden Root-Token im Browser ...
im Fall von SSL würde Dir der Browser zwar erlauben dies zu umgehen, aber das tut man nur, wenn man weiß was man tut; im Fall von DKIM, würde ich derartiges nicht mal in eine Queue stellen oder irgendwie kennzeichnen, sondern gnadenlos rejecten;
Genau deswegen die Frage. Ich habe in keinem RFC etwas gefunden, wie in dem Fall reagiert werden sollte. Allerdings habe ich bei GMail beobachtet, dass sie in dem Fall offenbar DKIM: neutral (no-key) bewerten.
Und auch folgende GSuite Hilfeseite hat mich auf die Idee gebracht: https://support.google.com/a/answer/174124?hl=de und dort der Absatz: "Wenn Sie keinen eigenen DKIM-Domainschlüssel generieren, werden alle ausgehenden Nachrichten in Gmail mit diesem DKIM-Standardschlüssel signiert: d=*.gappssmtp.com"
D.h. Du würdest das direkt rejecten?
Der Fall aus der Google Seite ist natürlich der, bei dem From Domain und DKIM Domain nicht zueinanderpassen. Die Sektion hattest du gar nicht kommentiert.
Wolfgang
Wolfgang
On 01.07.2020 17:53, Wolfgang Rosenauer wrote:
Der Fall aus der Google Seite ist natürlich der, bei dem From Domain und DKIM Domain nicht zueinanderpassen. Die Sektion hattest du gar nicht kommentiert.
derartiges würde ich aus einem anderen Grund vermeiden;
derartiges kommt eher dem Vergleich der realen Welt nahe: der Brief hat zwar eine Briefmarke der Dt. Post aber einen Absender von außerhalb Dtl. - wie vertrauenswürdig ist das? (f. derartiges mag es sogar gute Gründe geben ..., aber nicht generell)
Walter
On 01.07.2020 17:41, Wolfgang Rosenauer wrote:
"Wenn Sie keinen eigenen DKIM-Domainschlüssel generieren, werden alle ausgehenden Nachrichten in Gmail mit diesem DKIM-Standardschlüssel signiert: d=*.gappssmtp.com"
das ist aber was anderes als wovon Du sprichst ...
Du sprichst davon eine DKIM-Signatur in den Mail-Header zu klatschen ohne den entsprechenden DNS-Part zur Verifikation irgendwo zu hinterlegen ...
Hallo Wolfgang,
einige Server lehnen DKIM Mails ohne verfügbaren Key tatsächlich ab. Der eigenen Reputation wird das wohl auch eher nicht zuträglich sein, aber in den meisten Fällen geht die Mail trotzdem durch.
Eine Signatur einer anderen Domain fließt meist einfach nicht in die Bewertung ein.
--
Für deinen Rspamd gibt es eine sehr bequeme Funktion, dass vor dem Signieren der Pub-Key im DNS gesucht wird und mit dem lokalen Private-Key verglichen wird. Kein/falscher DNS Eintrag -> keine Signatur.
# If `true` get pubkey from DNS record and check if it matches private key check_pubkey = true;
# Set to `false` if you want to skip signing if public and private keys mismatch allow_pubkey_mismatch = false;
Das macht sich sehr praktisch, wenn man viele Domains hat und nur die signiert werden sollen, die den pub.key im DNS hinterlegt haben.
Viele Grüße
Carsten
On 01.07.20 14:45, Wolfgang Rosenauer wrote:
Hallo,
nicht direkt Postfix spezifisch aber vielleicht hat jemand einen Tipp oder einen Link.
Ich frage mich gerade, ob es "schädlich" ist, eine DKIM Signatur in eine ausgehende Mail zu packen, ohne dass es einen entsprechenden DNS Eintrag gibt?
Hintergrund: ein Mailserver für viele Domains aber ohne direkte Kontrolle über die DNS Zone und damit könnte es passieren, dass Benutzer den Eintrag im DNS überhaupt nicht vornehmen.
Eine zweite Variante: Falls obiges blöd ist, könnte ich eine generische Signatur mit entsprechendem DNS Key generieren, deren Domain (d=) aber nicht dem Absender entspricht? Wie schädlich wäre das in der Praxis? DMARC hätte damit wohl mindestens ein Problem?
Danke, Wolfgang
Hi Carsten,
Carsten Rosenberg cr@ncxs.de hat am 01.07.2020 19:59 geschrieben:
einige Server lehnen DKIM Mails ohne verfügbaren Key tatsächlich ab. Der eigenen Reputation wird das wohl auch eher nicht zuträglich sein, aber in den meisten Fällen geht die Mail trotzdem durch.
Eine Signatur einer anderen Domain fließt meist einfach nicht in die Bewertung ein.
--
Für deinen Rspamd gibt es eine sehr bequeme Funktion, dass vor dem Signieren der Pub-Key im DNS gesucht wird und mit dem lokalen Private-Key verglichen wird. Kein/falscher DNS Eintrag -> keine Signatur.
das habe ich tatsächlich auch so im Einsatz. Die aktuelle Frage habe ich allerdings für ein anderes System, welches auf opendkim setzt und dort gibt es die Funktion, soweit ich bisher gesehen habe, leider nicht.
Wolfgang
Guten Morgen,
seit einiger Zeit wirft einer unserer beiden Mailserver haufenweise Fehlermeldungen wie diese aus:
Jul 3 08:34:48 3 postfix/smtpd[16878]: warning: connect #9 to subsystem /var/spool/postfix/private/proxymap: Permission denied Jul 3 08:34:58 3 postfix/smtpd[16878]: warning: connect #10 to subsystem /var/spool/postfix/private/proxymap: Permission denied Jul 3 08:35:08 3 postfix/smtpd[16878]: fatal: connect #11 to subsystem /var/spool/postfix/private/proxymap: Permission denied
postconf -n: relay_domains = proxy:mysql:/etc/postfix/mysql-relay_domains_maps.cf virtual_alias_maps = proxy:mysql:/etc/postfix/mysql-virtual_alias_maps.cf, regexp:/etc/postfix/virtual_regexp virtual_mailbox_domains = proxy:mysql:/etc/postfix/mysql-virtual_domains_maps.cf virtual_mailbox_maps = proxy:mysql:/etc/postfix/mysql-virtual_mailbox_maps.cf
Version: 2.10.3 OS: CentOS Linux 7.8.2003
Scheint keine echten Verwerfungen zu produzieren, aber ist trotzdem irritierend. Für eine Erklärung wäre ich dankbar.
Viele Grüße
Lothar Schilling
Am 01.07.2020 um 14:45 schrieb Wolfgang Rosenauer:
Hallo,
nicht direkt Postfix spezifisch aber vielleicht hat jemand einen Tipp oder einen Link.
Ich frage mich gerade, ob es "schädlich" ist, eine DKIM Signatur in eine ausgehende Mail zu packen, ohne dass es einen entsprechenden DNS Eintrag gibt?
Hintergrund: ein Mailserver für viele Domains aber ohne direkte Kontrolle über die DNS Zone und damit könnte es passieren, dass Benutzer den Eintrag im DNS überhaupt nicht vornehmen.
Eine zweite Variante: Falls obiges blöd ist, könnte ich eine generische Signatur mit entsprechendem DNS Key generieren, deren Domain (d=) aber nicht dem Absender entspricht? Wie schädlich wäre das in der Praxis? DMARC hätte damit wohl mindestens ein Problem?
Danke, Wolfgang
Hallo Lothar, hallo zusammen,
Am Freitag, 3. Juli 2020, 08:43:29 CEST schrieb Lothar Schilling:
seit einiger Zeit wirft einer unserer beiden Mailserver haufenweise Fehlermeldungen wie diese aus:
Jul 3 08:34:48 3 postfix/smtpd[16878]: warning: connect #9 to subsystem /var/spool/postfix/private/proxymap: Permission denied
OS: CentOS Linux 7.8.2003
Scheint keine echten Verwerfungen zu produzieren, aber ist trotzdem irritierend. Für eine Erklärung wäre ich dankbar.
Da sich bisher niemand getraut hat zu antworten, versuche ich mal zwei Schüsse ins Blaue: - Dateiberechtigungen und -owner passen? - irgendwelche Logeinträge von SELinux?
Gruß
Christian Boltz
participants (5)
-
Carsten Rosenberg -
Christian Boltz -
Lothar Schilling -
Walter H. -
Wolfgang Rosenauer