[Postfixbuch-users] DKIM mit Amavis und Postfix funktioniert nicht

[Peer Heinlein]

Am Sonntag, 19. Juli 2009 schrieb Kai Fürstenberg:


> Fürs Archiv, ich hatte das gleiche Problem jetzt bei der Einrichtung:
> Amavis signiert per Standard nur Mails, welche aus dem lokalen Netzwerk
> kommen (@mynetworks). 

Nicht ganz. Er signiert Mails, wenn Sie das Flag ORIGINATING haben, also 
Amavis der Meinung ist, daß diese Mails *ausgehende* Mails sind (naja: 
genauer: nicht ausgehend sondern "nur" von uns kommend, aber egal).

ORIGINATING wird u.a. aber auch besagtes mynetworks getriggert, kann aber 
auch auf SASL, anderen Faktoren oder eben einem manuellen Setzen über 
eine eigene Policy-Bank zustandekommen.

Ausgehende Mails sollten ganz unabhängig von DKIM (!) sowieso ein 
ORIGINATING haben, damit gewisse Checks von SpamAssassin (steht der 
Client auf einer RBL?) in diesen Fällen nicht angewesendet werden -- denn 
wir sind ja besagtes Mailrelay für den Dialup-Client.

Wer keine saubere Konfiguration hat in der ausgehende Mails auch sauber 
erkannt hat, wird auch sonst Probleme mit False Positives in seinen 
ausgehenden E-Mails haben.

Diese DKIM-Signierung ist also nur ein Folgeproblem von einem ganz 
grundsätzlichen Fehler den man bei der Einrichtung von Amavis gemacht hat 
und den man beheben sollte. Ist Amavis ansonsten richtig eingesetzt sind 
diese Klimmzüge für DKIM demnach auch nicht nötig.

> Jetzt kann man aber nicht alle IP-Adressen als 
> lokal eintragen. In früheren Versionen von Amavis konnte man wohl noch
> den SASL-User benutzen, das soll aber seit 2.6 nicht mehr gehen.

Warum soll das nicht gehen? Wo steht denn das? Ich habe das zumindest noch 
nicht beobachten können, aber ich nutze aus verschiedenen Gründen in der 
Tat auch eigene Policy-Banks.

> Man umgeht das, indem man Amavis auf einem zweiten Port lauschen lässt,
> und Verbindungen auf diesem Port mittels Policy Bank und
> "$originating=1" als lokal betrachten lässt. Die Mail über submission
> einliefern und über den zweiten Port an Amavis schicken. Dann wird auch
> signiert und es spielt keine Rolle, ob pre- oder post-queue.

Dazu muß man gar nicht submission nehmen.

Ich empfehle eh den Mailrelay-Verkehr ("MX") mit seinem port 25 von dem 
Mailverkehr authentifizierter eigener Nutzer ("MAIL") klar zu trennen, 
d.h. solche Wollmilchsau-Server die alles machen mit mindestens zwei 
IP-Adressen auszustatten. -Und dann natürlich auf der MAIL-IP-Adresse in 
der Tat die andere Policy-Bank von Amavis anzusprechen. Neben den Sachen 
in Amavis ist eine solche Trennung auch aus anderen Gründen sehr 
erstrebenswert.

Peer








-- 
Heinlein Professional Linux Support GmbH
Linux: Akademie - Support - Hosting

http://www.heinlein-support.de

Zwangsangaben lt. §35a GmbHG:
HRB 93818 B / Amtsgericht Berlin-Charlottenburg, 
Geschäftsführer: Peer Heinlein  -- Sitz: Berlin