OpenDKIM signiert keine E-Mails


9

Ich habe also Probleme damit, OpenDKIM dazu zu bringen, meine Nachrichten zu signieren, aber ich stoße an die Wand, was dies verursachen könnte:

Auf Debian Jessie mit Postfix und OpenDKIM.

Mein /etc/opendkim.conf:

Syslog                  yes
SyslogSuccess           Yes
LogWhy yes
UMask                   002
Canonicalization        relaxed/simple
Mode                    sv
SubDomains              no
#ADSPAction             continue
AutoRestart             Yes
AutoRestartRate         10/1h
Background              yes
DNSTimeout              5
SignatureAlgorithm      rsa-sha256
UserID                  opendkim:opendkim
Socket                  inet:12301@localhost
KeyTable        refile:/etc/opendkim/KeyTable
SigningTable    refile:/etc/opendkim/SigningTable
ExternalIgnoreList      refile:/etc/opendkim/TrustedHosts
InternalHosts   refile:/etc/opendkim/TrustedHosts

Mein /etc/opendkim/KeyTable:

default._domainkey.example.com example.com:default:/etc/opendkim/keys/example.com/default.private

Mein /etc/opendkim/SigningTable:

example.com default._domainkey.example.com

Versuchte die folgende Variante von SigningTable, aber das deaktivierte mein SMTP:

*@example.com default._domainkey.example.com

Habe die folgende Zeile in meinem nicht kommentiert /etc/default/opendkim:

SOCKET="inet:12345@localhost

Habe folgendes in meinem /etc/postfix/main/cf:

# DKIM
milter_default_action = accept
milter_protocol = 6
smtpd_milters = inet:localhost:12345
non_smtpd_milters = inet:localhost:12345

Das, was opendkim-testkey -d example.com -s default -vvvzurückkommt:

opendkim-testkey: using default configfile /etc/opendkim.conf
opendkim-testkey: checking key 'default._domainkey.example.com'
opendkim-testkey: key not secure
opendkim-testkey: key OK

Es scheint keine Fehler in meinen Protokollen zu geben, die sich auf opendkim beziehen. Wenn ich jedoch versuche, die Signatur zu überprüfen, meldet mail-tester.com keine DKIM-Signatur. Check-auth@verifier.port25.com gibt eine DKIM-Prüfung zurück: keine.

Jede Hilfe bei der Suche nach dem, was mir fehlt, wäre sehr dankbar. Vielen Dank.

Antworten:


7

Probleme, die ich sehe:

  • Ihre Verwendung von refile
    Aus der Dokumentation :

    Wenn die Zeichenfolge mit "refile:" beginnt, wird angenommen, dass der Rest der Zeichenfolge eine Datei angibt, die eine Reihe von Mustern enthält, eines pro Zeile und die zugehörigen Werte. Das Muster wird als Beginn der Zeile zum ersten Leerzeichen verwendet, und der Teil nach diesem Leerzeichen wird als Wert verwendet, der verwendet werden soll, wenn dieses Muster übereinstimmt. Muster sind einfache Platzhaltermuster, die mit dem gesamten Text übereinstimmen, mit der Ausnahme, dass das Sternchen ("*") als Platzhalter betrachtet wird. Wenn ein Wert mehrere Einträge enthält, sollten die Einträge durch Doppelpunkte getrennt werden.

    Die KeyTable folgt diesem Muster nicht und benötigt daher kein refileSchlüsselwort. Vielleicht tut es nicht weh, ich weiß es nicht. Ich benutze es dort nicht in meiner Konfiguration und es funktioniert für mich.

    KeyTable        /etc/opendkim/KeyTable
    SigningTable    refile:/etc/opendkim/SigningTable
    
  • Ihre Schlüsseltabelle

    Die Zeilen sollen mit der Domain beginnen, nicht mit dem Domainkey-Datensatz:

    example.com example.com:default:/etc/opendkim/keys/example.com/default.private
    
  • SigningTable

    Die Signaturtabelle sollte der Domain E-Mail-Adressen zuordnen. Es sollte so aussehen:

    *@example.com example.com
    

    Hier wird das refileSchlüsselwort benötigt.

Ich weiß nichts über ExternalIgnoreListund InternalHosts, da ich sie nicht benutze. Der Rest der Konfiguration sieht für mich gut aus.


Ich denke nicht, dass Ihre KeyTable / Signingtable-Kommentare korrekt sind. Die Zeile beginnt mit dem Schlüsselnamen, der in Ihrem Fall jetzt lautet example.com. Der angegebene Name default._domainkey.example.comist durchaus sinnvoll. Anschließend ordnet SigningTable E-Mail-Adressen Keynamen zu, nicht der Domäne.
TacoV
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.