[Postfixbuch-users] Frage zu DKIM-Filter

Sascha Peters postfix-list at novuage.de
Mo Dez 14 19:54:49 CET 2009 

Norbert Gerhards schrieb:
> Aktuell könntest Du einen Artikel zu DKIM von Patrick Koetter
> in der c't 26, S. 190 ff lesen.

den habe ich gelesen... da wird aber über DKIM gesprochen, nicht 
unbedingt in Zusammenhang mit der Art und Weise der Umsetzung bei Amavis.

Ich denke ich werden mein Server so umbauen müssen das Kunden nur Ihre 
eigene Absender oder eben anderweitig Erlaubte Absender genutzt werden 
können. Einziges Problem was ich gerade dabei habe.

Es gibt da ja die "login_mismatch" Sachen, doch was ist wenn ich für 
einen Client nicht SMTP-Auth sondern eine IP-Adresse als 
Authentifizierung verwenden, kann man auch sagen diese IP-Adresse darf 
nur gewisse Absender verwenden?

Wenn das gehen würde, man also anders ausgedrückt, alle Quellen die man 
auf welche Art auch immer Authentifiziert behandelt will, genaue 
Adressen oder komplette Domains zuweisen kann, dann wäre das perfekt.


Von mir aktuell genutzte Möglichkeiten auf den Servern sind folgende:

	permit_mynetworks
	permit_sasl_authenticated
	permit_tls_clientcerts
	check_client_access btree:whitelist



> Aus dem Füllhorn seiner RFC-konformen Vorschläge:
> - Einlieferung _nur_ noch über Port 587
> - Sender nur mit SMTP-Auth und möglichst TLS
> - dazu noch ein wenig DKIM

Das sollte so sein, aber würde ja in diesem Fall auch keinen Unterschied 
darstellen, ich würde bei Peer (um das Beispiel beizubehalten) auch über 
587 einliefern TLS verwenden und mich mittels SMTP-Auth anmelden.


> Uff, das hieße für mich beispielsweise, 4 Server komplett
> neu aufzusetzen, im laufenden Betrieb usw.

echt? So viel ist das nicht, ich mache es nur nicht gerne direkt so das 
für die Kunden sich was so ändert das es Probleme geben kann. Also TLS 
als Pflicht, wenn es bisher nicht so war. Ebenso NUR über Port 587. Ich 
Kommuniziere aber den Port 587 immer und habe Ihn auch, aber der 25er 
funktioniert auch.
Ich verwende aber aktuell für die SMTP-Auth Geschichte eine eigene 
IP-Adresse, was mich auf Port 25 ebenfalls flexibler macht als wenn hier 
auch die MXer und Co drüber laufen würden.


> Darüber denke ich also höchstens noch mal nach, wenn ich
> sowoeso einen nagelneuen Server in Ruhe aufsetze und
> gründlich testen kann, bevor ich ihn auf die Menschheit
> (=meine Kunden) loslasse.

Kann man doch alles vorab auch in einem Testcase machen, mittels VMware 
und Co. Ich baue auch nix einfach mal so um ohne das in den VMware 
Maschinen probiert zu haben. Das wäre einfach nur schlimm :-)


> Aber falls jemand hier Lust hat, einen solchen exemplarischen
> Testserver mit mir aufzubauen: ich stelle einen zur Verfügung
> und verfasse ein ausführliches HowTo hier für die Liste.
> Bedingung: Server läuft unter debian lenny.
> 
> Na, wie wärs?

Kein Problem. Fasse genau zusammen was Du hast und willst... Glaub nicht 
das es so ein Problem ist. Da Du sicher auch aktuelle Software einsetzt 
ist es durch diverse kleine Änderungen nachher aber sicher auch ohne 
Neuinstallation auf die Server zu übertragen, und im Zweifel wieder 
rückgängig zu machen.


-- 

Gruß
Sascha

Mehr Informationen über die Mailingliste Postfixbuch-users