Probleme mit dem signieren ausgehender mails mit Open-DKIM

Di Mär 22 16:51:44 CET 2016

Am 22.03.2016 um 15:40 schrieb Carsten Laun-De Lellis:
> Hallo, alle zusammen
>
> Ich habe folgendes Problem:
>
> Ich nehme emails von einem Exchange Server über port 25 als mailgateway entgegen für die Domänen example1.com und example2.com, welche ich gerne mit dem passenden dkim key signieren möchte:
>
> Ich habe gemäß der Anleitung https://www.digitalocean.com/community/tutorials/how-to-install-and-configure-dkim-with-postfix-on-debian-wheezy opendkim für mehrere Domänen konfiguriert:
>
> /etc/opendkim.conf
>
> Syslog                                      yes
> SyslogSuccess             yes
> LogWhy                        yes
> UMask                         002
> AutoRestart             Yes
> AutoRestartRate         10/1h
> Canonicalization        relaxed/simple
>
> ExternalIgnoreList      refile:/etc/dkimkeys/TrustedHosts
> InternalHosts           refile:/etc/dkimkeys/TrustedHosts
> KeyTable                refile:/etc/dkimkeys/KeyTable
> SigningTable            refile:/etc/dkimkeys/SigningTable
>
> Mode                    sv
> PidFile                 /var/run/opendkim/opendkim.pid
> SignatureAlgorithm      rsa-sha256
>
> UserID                  opendkim:opendkim
> SOCKET                  inet:8891 at localhost
>
>
> /etc/dkimkeys/TrustedHosts
>
> 127.0.0.1
> localhost
> ip.exchange.server
> ip.postfix.server
>
> *.example1.com
> *.example2.com
>
>
> /etc/dkimkeys/SigningTable
>
> *@example1.com                   mail._domainkey.example1.com
> *@example2.com<mailto:*@example2.com>                   mail._domainkey.example2.com
>
> /etc/dkimkeys/KeyTable
>
> mail._domainkey.example1.com                     example1.com:mail:/etc/dkimkeys/keys/ example1.com / example1.com.private
> mail._domainkey.example2.com                     example2.com:mail:/etc/dkimkeys/keys/ example2.com / example2.com.private
>
> Die Keys sollten soweit eigentlich o.k. sein, da ich bei einem dkim check mit online tools ein ok bekomme. Dies deutet darauf hin, dass der Eintrag im DNS und der Schlüssel soweit passen.
>
> In Postfix habe ich den milter über den folgenden Eintrag in die /etc/postfix/main.cf eingebunden.
>
> milter_default_action = accept
> milter_protocol = 6
> smtpd_milters=inet:localhost:8891
> non_smtpd_milters=inet:localhost:8891
>
>
> Ein lsof -i :8891 liefert folgenden output:
>
> COMMAND   PID     USER   FD   TYPE DEVICE SIZE/OFF NODE NAME
> opendkim 6961 opendkim    4u  IPv4  69527      0t0  TCP localhost:8891 (LISTEN)
>
> Ich kann also davon ausgehen, dass open-dkim läuft auf dem port 8891.
>
> Wenn ich nun ein grep -i dkim /var/log/mail.log ausführe dann bekomme ich einen output der mir anzeigt, dass eingehende emails von amavis auf dkim keys überprüft werden.
>
> Bsp.:
> Mar 22 15:18:08 RV1008 amavis[5481]: (05481-09) Passed CLEAN {RelayedOutbound}, ORIGINATING LOCAL [144.76.82.147]:50211 [2607:f8b0:400d:c04::230] <samba-bounces at lists.samba.org> -> <user1 at example2.com>, Message-ID: <CAAqWYyFsd3rmami2fMUkR6KdpWD3X9pUQd4MHSr_R_kkQkm6DQ at mail.gmail.com>, mail_id: 8mBNSew2gnNq, Hits: 0.242, size: 11501, queued_as: 0184C780094, dkim_sd=2954282:lists.samba.org, 6505 ms
>
> Für ausgehende emails finde ich keinerlei Einträge im maillog die auf irgendwelche Aktivitäten hindeuten, dass open-dkim versucht die emails zu signieren.
>
> Was mache ich da falsch?
>
> Ach ja, ich setze Ubuntu 15.10 ein mit postfix 3.0.4.

Bin mir nicht sicher, aber unter Debian/Ubuntu musste man glaub ich noch 
was in /etc/default/opendkim aktivieren. Kann leider gerade nicht 
nachschauen.

Übrigens bin ich Stephans Meinung. Wenn Du auf dem System ohnehin 
amavisd einsetzt, dann signiere doch damit. Funktioniert bei uns bestens.

-- 
Alex JOST