[Postfixbuch-users] Best Practives: DKIM via amavsid-new

Stefan Förster cite+postfix-buch at incertum.net
Sa Mai 9 13:39:41 CEST 2009


Hallo Welt,

nachdem der DKIM-Code in amavisd-new mittlerweile in unseren Tests
sehr stabil funktioniert wäre es toll, wenn wir das dazu nutzen
könnten, die leicht betagten dkim-filter, der als Milter integriert
ist, loszuwerden und die DKIM-Signierung über amavisd-new abzuhandeln.

Für den normalen Mailfluss ist dies auch kein Problem, da hier beim
EMpfang und beim Versand sowieso amavisd-new involviert ist, und die
Integration stellte sich hier vollkommen schmerzfrei dar.

Das große Problem in unserem Setup ist jedoch der Betrieb von
Mailinglisten - speziell Mailinglisten, die mit VERP oder voller
Personalisierung (man verzeihe mir den Mailman-Slang) arbeiten.

Standard-MLM-Setups sehen ja so aus, daß in der master.cf ein
dedizierter smtpd definiert wird, an den der MLM die Mails, die an
Listenempfänger versandt werden sollen, einliefert. Normalerweise wird
bei diesem smtpd die Content-Filterung deaktiviert:

1. Entstehen die Mails, weil ein Mitglied auf die Liste gepostet hat,
   so wurde bereits eine Inhaltsfilterung durchgeführt.
2. Entsteht die Mail aufgrund einer administrativen Nachricht des MLM
   (z.B. die Benachrichtigung, daß ein Posting abgelehnt wurde oder
   die monatlichen Paßworterinnerungen), so handelt es sich dabei um
   simple Text-Nachrichten, deren Inhalt bis auf einige Variablen wie
   z.B. Empfängeradressen im Voraus bekannt ist, und auch hier ist
   keine Filterung notwendig.

Migriert man die DKIM-Signierung nun nach amavisd-new, so entsteht die
zwingende Notwendigkeit, ausgehende Mails durch den Filter zu
versenden. Dies ist vernachlässigbarer Overhead, solange die Mails
ohne VERP oder mittels der XVERP-Erweiterung von Postfix versandt
werden (für letzter muß aber z.B. Mailman gepatcht werden).

Problematisch wird das jedoch, wenn die Mails von Mailman selbst mit
VERP-Adressen versehen werden oder aber gleich vollkommen
personalisiert werden - dann wird nämlich für jeden Empfänger eine
eigene Mail generiert. Während dies auch unter normalen Umständen
schon eine gewaltige Performance-Bremse ist (ein Queuefile pro
Empfänger!), so wird das ganze mit Filterung nicht mehr abbildbar.

Gibt es hier eine vernünftige Lösung, die ich übersehe? Es ist
wünschenswert, den DKIM-Milter loszuwerden, da man sich einen weitern
Dienst schenken kann, aufgrund der von mir oben geschilderten Probleme
sehe ich jedoch nicht, wie das beim BEtrieb von Mailinglisten
realistisch abbildbar ist.


Ciao
Stefan
-- 
Stefan Förster     http://www.incertum.net/     Public Key: 0xBBE2A9E9
FdI #235: Kommentierter Quellkode - Hier programmiert ein Germanist oder
Anglist. (Manfred Worm Schäfer)



Mehr Informationen über die Mailingliste Postfixbuch-users