[postfix-users] DKIM Filter
Hallo,
ich hab jetzt mal der Übung halber OpenDKIM auf meinem Server installiert. Habe hier eine gute Anleitung gefunden: https://www.digitalocean.com/community/tutorials/how-to-install-and-configur...
Das klappt für ausgehende Mails auch wunderbar, es wird eine DKIM-Signatur erzeugt.
Aber davon habe ich ja noch recht wenig. Wie kann ich das jetzt sinnvoll für eingehende Mails nutzen?
Meine Vorstellung wäre, alle Mails abzuweisen die eine ungültige Signatur haben, sowie Mails abzuweisen die keine Signatur haben, aber eigentlich eine haben sollten. Letzteres wird vermutlich gar nicht möglich sein, denn wie soll mein Postfix wissen ob eine Domain mit DKIM arbeitet? Anders als bei SPF lässt sich das bei DKIM ja gar nicht so ohne weiteres feststellen.
Am 14.09.2014 um 10:45 schrieb Joachim Fahrner:
Hallo,
ich hab jetzt mal der Übung halber OpenDKIM auf meinem Server installiert. Habe hier eine gute Anleitung gefunden: https://www.digitalocean.com/community/tutorials/how-to-install-and-configur...
Das klappt für ausgehende Mails auch wunderbar, es wird eine DKIM-Signatur erzeugt.
Aber davon habe ich ja noch recht wenig. Wie kann ich das jetzt sinnvoll für eingehende Mails nutzen?
Meine Vorstellung wäre, alle Mails abzuweisen die eine ungültige Signatur haben, sowie Mails abzuweisen die keine Signatur haben, aber eigentlich eine haben sollten. Letzteres wird vermutlich gar nicht möglich sein, denn wie soll mein Postfix wissen ob eine Domain mit DKIM arbeitet? Anders als bei SPF lässt sich das bei DKIM ja gar nicht so ohne weiteres feststellen.
http://www.opendkim.org/opendkim.conf.5.html
sollte das hier sein, wenn dein "mode" nicht testing und auch verify ist
On-BadSignature (string)
Selects the action to be taken when a signature fails to validate. Possible values (with abbreviated forms in parentheses): accept (a) accept the message; discard (d) discard the message; quarantine (q) quarantine the message; reject (r) reject the message; tempfail (t) temp-fail the message. The default is accept. Note that the "t" (testing) flag in a DKIM key bypasses this behaviour; a bad signature that references a testing flag will still be delivered, though the added Authentication-Results field will indicate both the failed result and the test mode so that consumers of the message can take appropriate action.
empfehle aber alle Parameter zu studieren insbesondere die On-* Parameter
-- Mit besten Grüßen Joachim Fahrner
postfix-users mailing list postfix-users@de.postfix.org http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
Best Regards MfG Robert Schetterer
Am Sonntag, den 14.09.2014, 11:17 +0200 schrieb Robert Schetterer:
http://www.opendkim.org/opendkim.conf.5.html
sollte das hier sein, wenn dein "mode" nicht testing und auch verify ist
On-BadSignature (string)
Was ich mir wünsche scheint das hier zu sein: http://en.wikipedia.org/wiki/Author_Domain_Signing_Practices#Author_Domain_S...
Paypal hat das auf "discardable" gesetzt. Das ist ja schonmal ein Anfang gegen Phishing.
Am 14.09.2014 um 11:37 schrieb Joachim Fahrner:
Am Sonntag, den 14.09.2014, 11:17 +0200 schrieb Robert Schetterer:
http://www.opendkim.org/opendkim.conf.5.html
sollte das hier sein, wenn dein "mode" nicht testing und auch verify ist
On-BadSignature (string)
Was ich mir wünsche scheint das hier zu sein: http://en.wikipedia.org/wiki/Author_Domain_Signing_Practices#Author_Domain_S...
Paypal hat das auf "discardable" gesetzt. Das ist ja schonmal ein Anfang gegen Phishing.
zusaetzlich solltest du
http://en.wikipedia.org/wiki/DMARC http://www.trusteddomain.org/opendmarc/
nutzen
-- Mit besten Grüßen Joachim Fahrner
postfix-users mailing list postfix-users@de.postfix.org http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
Best Regards MfG Robert Schetterer
Am Sonntag, den 14.09.2014, 11:44 +0200 schrieb Robert Schetterer:
zusaetzlich solltest du
http://en.wikipedia.org/wiki/DMARC http://www.trusteddomain.org/opendmarc/
Wie ist denn da die Zusammenarbeit mit dem OpenDKIM? Ich hab da jetzt "ADSPAction reject" eingestellt. Muss das dann da raus wenn OpenDMARC das rejecten übernimmt?
Am 14.09.2014 um 13:47 schrieb Joachim Fahrner:
Am Sonntag, den 14.09.2014, 11:44 +0200 schrieb Robert Schetterer:
zusaetzlich solltest du
http://en.wikipedia.org/wiki/DMARC http://www.trusteddomain.org/opendmarc/
Wie ist denn da die Zusammenarbeit mit dem OpenDKIM? Ich hab da jetzt "ADSPAction reject" eingestellt. Muss das dann da raus wenn OpenDMARC das rejecten übernimmt?
ich habe das nicht in Produktion laufen, zu Ende gedacht duerften sich die beiden Standards "rein technisch" wohl sinnvoll ergaenzen, real wuerde ich persoenlich ADSPAction reject im DKIM milter verzichten ,es ist wahrscheinlich dass nur wenige es wirklich "eingestellt/eingerichtet" haben, aber sehr viele es falsch eingerichtet haben weil es ueber die Zeit zu sehr "mutiert" hat
siehe
http://datatracker.ietf.org/doc/status-change-adsp-rfc5617-to-historic/
Ich denke wenn man opendmarc einsetzt kann man wohl auf ADSPAction reject verzichten. Bei Reihenfolge dmarc-milter, dkim-milter sollte ohnehin nicht viel zum ADSPAction reject ankommen, weil vorher schon von dmarc-milter abgewiesen.
Alles ohne Gewaehr
postfix-users mailing list postfix-users@de.postfix.org http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
Best Regards MfG Robert Schetterer
participants (2)
-
Joachim Fahrner -
Robert Schetterer