[Postfixbuch-users] Dkim und roaming Clients

Daniel Luttermann daniel at dlutt.de
Mi Jul 22 15:56:01 CEST 2009 

Hanns Mattes schrieb am Mittwoch, 22. Juli 2009:

> Hei,

> angeregt durch die Diskussion jüngst auf der Liste habe ich jetzt
> angefangen, DKIM in das als smtpd_proxy_filter eingebundene amavisd
> einzubauen und für einige Domains zu aktivieren.

> Das klappt prinzipiell auch: Mails aus dem internen Netz werden
> signiert, nicht aber diejenigen, die von externen Nutzern eingeworfen
> werden. 

> Soweit, so klar: Natürlich werden deren Absenderadressen nicht in
> Amavis' @mynetworks erfasst und also auch nicht signiert.

> Wie erreiche ist es nun, dass auch die mails von
> sasl_authenticated-Nutzern signiert werden?

am einfachsten wäre es,den Port 587 (submission) zu verwenden. Du
könntest dann zusätzlich einen weiteren "Listening-Port" für
amavisd-new hinzufügen,an welchen die eingehenden E-Mails
weitergeleitet werden. Beispiel:

amavisd.conf:

$inet_socket_port = [10024,10026];
$interface_policy{'10026'} = 'ORIGINATING';
$policy_bank{'ORIGINATING'} = {
  originating => 1,
  smtpd_discard_ehlo_keywords => ['8BITMIME'],
};

master.cf:

submission   inet  n    -       n       -    -       smtpd
  -o content_filter=amavisfeed:[127.0.0.1]:10026

Alle eingehenden E-Mails über den Port 587 werden nun an amavisd-new
(10026) weitergeleitet und signiert.

Die Policy für den Port 10026 setzt die Option "originating =>
1",damit amavisd-new weiss, dass die E-Mail signiert werden soll. Über
die Anweisung "content_filter..." wird die eingehende E-Mail direkt an
den Port 10026 von amavisd-new weitergeleitet.

Alternativ kannst du auch zwei IP-Adressen (eine für eingehende, eine
für ausgehende) verwenden.

Wenn du keine IP-Adressen zur Verfügung hast oder Submission nicht
verwenden kannst, dann musst du unter Umständen mit Header-Checks, wie
in diesem Beispiel, arbeiten:

http://www.ijs.si/software/amavisd/amavisd-new-docs.html#dkim-postfix-dual-path


Zusätzlich musst du dann in amavisd.conf die Optionen

$inet_socket_port = [10024,10026];
$forward_method = 'smtp:[127.0.0.1]:10025';
$notify_method  = 'smtp:[127.0.0.1]:10027';
$interface_policy{'10026'} = 'ORIGINATING';

$policy_bank{'ORIGINATING'} = {
    originating => 1,
    forward_method => 'smtp:[127.0.0.1]:10027',
};

usw. angeben. Außerdem solltest du die entsprechenden Restrictions
beachten (wie bei smtpd_sender_restrictions=... angegeben).


-- 
Daniel

Mehr Informationen über die Mailingliste Postfixbuch-users