Probleme mit dem signieren ausgehender mails mit Open-DKIM

Carsten Laun-De Lellis carsten.delellis at delellis.net
Di Mär 22 19:12:09 CET 2016 

Hier vielleicht auch noch mal ein Auszug aus dem Maillog, was passiert, wenn ich eine email versende.

Mar 22 19:05:25 RV1008 postfix/smtpd[8994]: connect from exchange.example1.com [ex.cha.nge.ip]
Mar 22 19:05:26 RV1008 postfix/smtpd[8994]: NOQUEUE: client= exchange.example1.com [ex.cha.nge.ip]
Mar 22 19:05:31 RV1008 postfix/smtpd[9205]: connect from localhost[127.0.0.1]
Mar 22 19:05:31 RV1008 postfix/smtpd[9205]: DF814780095: client=localhost[127.0.0.1]
Mar 22 19:05:31 RV1008 postfix/cleanup[9206]: DF814780095: message-id=<9fbb71ee7ae54aa1bc026854fb5f37c4 at example2.com>
Mar 22 19:05:31 RV1008 postfix/qmgr[8929]: DF814780095: from=<user at example2.com>, size=62512, nrcpt=1 (queue active)
Mar 22 19:05:31 RV1008 amavis[8993]: (08993-01) Passed CLEAN {RelayedOutbound}, ORIGINATING LOCAL [ex.cha.nge.ip]:32784 [ex.cha.nge.ip] <user at example2.com>-> <user2 at online.de>, Message-ID: <9fbb71ee7ae54aa1bc026854fb5f37c4 at example2.com>, mail_id: RyFLa3eHUMCv, Hits: 0.921, size: 61996, queued_as: DF814780095, 5952 ms
Mar 22 19:05:31 RV1008 postfix/smtpd[8994]: proxy-accept: END-OF-MESSAGE: 250 2.0.0 from MTA(smtp:[127.0.0.1]:10025): 250 2.0.0 Ok: queued as DF814780095; from=<user at example2.com> to<user2 at online.de> proto=ESMTP helo=< exchange.example1.com>
Mar 22 19:05:32 RV1008 postfix/smtpd[8994]: disconnect from exchange.example1.com [ex.cha.nge.ip]ehlo=2 starttls=1 mail=1 rcpt=1 data=1 quit=1 commands=7
Mar 22 19:05:32 RV1008 postfix/smtp[9004]: DF814780095: to=<user2 at online.de>, relay=mx00.emig.kundenserver.de[212.227.15.40]:25, delay=0.31, delays=0.05/0/0.1/0.16, dsn=2.0.0, status=sent (250 Requested mail action okay, completed: id=0Ly53t-1ZfFEn0XUj-015cIq)
Mar 22 19:05:32 RV1008 postfix/cleanup[9206]: 3A016780097: message-id=<20160322180532.3A016780097 at RV1008>

Wobei RV1008 der postfix server ist. Alles sieht soweit gut aus. Bis auf das fehlende signieren der emails.

Mit freundlichem Gruß
 
Carsten Laun-De Lellis
 
Hauptstrasse 13
D - 67705 Trippstadt
 
Phone: +49 6306 992140
Mobile: +49 151 275 30865
Fax:     +49 6306 992142
email: carsten.delellis at delellis.net
 
http://www.linkedin.com/in/carstenlaundelellis

---------------------------------------------------

Diese E-Mail könnte vertrauliche und/oder rechtlich geschützte Informationen enthalten. Wenn Sie nicht der richtige Adressat sind oder diese E-Mail irrtümlich erhalten haben, informieren Sie bitte sofort den Absender und vernichten Sie diese Mail. Das unerlaubte Kopieren sowie die unbefugte Weitergabe dieser Mail ist nicht gestattet.

This e-mail may contain confidential and/or privileged information. If you are not the intended recipient (or have received this e-mail in error) please notify the sender immediately and destroy this e-mail. Any unauthorised copying, disclosure or distribution of the material in this e-mail is strictly forbidden.


-----Original Message-----
From: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] On Behalf Of Carsten Laun-De Lellis
Sent: Dienstag, 22. März 2016 18:54
To: Diskussionen und Support rund um Postfix <postfixbuch-users at listen.jpberlin.de>
Subject: RE: Probleme mit dem signieren ausgehender mails mit Open-DKIM

Hallo

Nochmal vielleicht ein kleiner Fingerzeig.

Im Maillog erscheinen keine dkim Nachrichten, obwohl ich auch bei success log Einträge konfiguriert habe. Es sieht so aus, als würde opendkim gar nicht angetriggert.

In allen Konfigs, die ich gesehen habe, wird jedoch nur ein Eintrag in der main.cf gemacht.

Mit freundlichem Gruß
 
Carsten Laun-De Lellis
 
Hauptstrasse 13
D - 67705 Trippstadt
 
Phone: +49 6306 992140
Mobile: +49 151 275 30865
Fax:     +49 6306 992142
email: carsten.delellis at delellis.net
 
http://www.linkedin.com/in/carstenlaundelellis

---------------------------------------------------

Diese E-Mail könnte vertrauliche und/oder rechtlich geschützte Informationen enthalten. Wenn Sie nicht der richtige Adressat sind oder diese E-Mail irrtümlich erhalten haben, informieren Sie bitte sofort den Absender und vernichten Sie diese Mail. Das unerlaubte Kopieren sowie die unbefugte Weitergabe dieser Mail ist nicht gestattet.

This e-mail may contain confidential and/or privileged information. If you are not the intended recipient (or have received this e-mail in error) please notify the sender immediately and destroy this e-mail. Any unauthorised copying, disclosure or distribution of the material in this e-mail is strictly forbidden.


-----Original Message-----
From: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] On Behalf Of Infoo Matic
Sent: Dienstag, 22. März 2016 18:19
To: postfixbuch-users at listen.jpberlin.de
Subject: Re: Probleme mit dem signieren ausgehender mails mit Open-DKIM

Hi,

Hast du in der master.cf vielleicht beim smtpd ein "-o smtpd_milters=" oder ein "-o receive_override_options=no_milters"?

LG,
Robert

 
On Tuesday, March 22, 2016 15:40 CET, Carsten Laun-De Lellis <carsten.delellis at delellis.net> wrote: 
 
> Hallo, alle zusammen
> 
> Ich habe folgendes Problem:
> 
> Ich nehme emails von einem Exchange Server über port 25 als mailgateway entgegen für die Domänen example1.com und example2.com, welche ich gerne mit dem passenden dkim key signieren möchte:
> 
> Ich habe gemäß der Anleitung https://www.digitalocean.com/community/tutorials/how-to-install-and-configure-dkim-with-postfix-on-debian-wheezy opendkim für mehrere Domänen konfiguriert:
> 
> /etc/opendkim.conf
> 
> Syslog                                      yes
> SyslogSuccess             yes
> LogWhy                        yes
> UMask                         002
> AutoRestart             Yes
> AutoRestartRate         10/1h
> Canonicalization        relaxed/simple
> 
> ExternalIgnoreList      refile:/etc/dkimkeys/TrustedHosts
> InternalHosts           refile:/etc/dkimkeys/TrustedHosts
> KeyTable                refile:/etc/dkimkeys/KeyTable
> SigningTable            refile:/etc/dkimkeys/SigningTable
> 
> Mode                    sv
> PidFile                 /var/run/opendkim/opendkim.pid
> SignatureAlgorithm      rsa-sha256
> 
> UserID                  opendkim:opendkim
> SOCKET                  inet:8891 at localhost
> 
> 
> /etc/dkimkeys/TrustedHosts
> 
> 127.0.0.1
> localhost
> ip.exchange.server
> ip.postfix.server
> 
> *.example1.com
> *.example2.com
> 
> 
> /etc/dkimkeys/SigningTable
> 
> *@example1.com                   mail._domainkey.example1.com
> *@example2.com<mailto:*@example2.com>                   mail._domainkey.example2.com
> 
> /etc/dkimkeys/KeyTable
> 
> mail._domainkey.example1.com                     example1.com:mail:/etc/dkimkeys/keys/ example1.com / example1.com.private
> mail._domainkey.example2.com                     example2.com:mail:/etc/dkimkeys/keys/ example2.com / example2.com.private
> 
> Die Keys sollten soweit eigentlich o.k. sein, da ich bei einem dkim check mit online tools ein ok bekomme. Dies deutet darauf hin, dass der Eintrag im DNS und der Schlüssel soweit passen.
> 
> In Postfix habe ich den milter über den folgenden Eintrag in die /etc/postfix/main.cf eingebunden.
> 
> milter_default_action = accept
> milter_protocol = 6
> smtpd_milters=inet:localhost:8891
> non_smtpd_milters=inet:localhost:8891
> 
> 
> Ein lsof -i :8891 liefert folgenden output:
> 
> COMMAND   PID     USER   FD   TYPE DEVICE SIZE/OFF NODE NAME
> opendkim 6961 opendkim    4u  IPv4  69527      0t0  TCP localhost:8891 (LISTEN)
> 
> Ich kann also davon ausgehen, dass open-dkim läuft auf dem port 8891.
> 
> Wenn ich nun ein grep -i dkim /var/log/mail.log ausführe dann bekomme ich einen output der mir anzeigt, dass eingehende emails von amavis auf dkim keys überprüft werden.
> 
> Bsp.:
> Mar 22 15:18:08 RV1008 amavis[5481]: (05481-09) Passed CLEAN {RelayedOutbound}, ORIGINATING LOCAL [144.76.82.147]:50211 [2607:f8b0:400d:c04::230] <samba-bounces at lists.samba.org> -> <user1 at example2.com>, Message-ID: <CAAqWYyFsd3rmami2fMUkR6KdpWD3X9pUQd4MHSr_R_kkQkm6DQ at mail.gmail.com>, mail_id: 8mBNSew2gnNq, Hits: 0.242, size: 11501, queued_as: 0184C780094, dkim_sd=2954282:lists.samba.org, 6505 ms
> 
> Für ausgehende emails finde ich keinerlei Einträge im maillog die auf irgendwelche Aktivitäten hindeuten, dass open-dkim versucht die emails zu signieren.
> 
> Was mache ich da falsch?
> 
> Ach ja, ich setze Ubuntu 15.10 ein mit postfix 3.0.4.
> 
> Für Hinweise wäre ich wirklich dankbar.
> 
> Mit freundlichem Gruß
> 
> Carsten Laun-De Lellis
> 
> Hauptstrasse 13
> D - 67705 Trippstadt
> 
> Phone: +49 6306 992140
> Mobile: +49 151 275 30865
> Fax:     +49 6306 992142
> email: carsten.delellis at delellis.net<mailto:carsten.delellis at delellis.net>
> 
> http://www.linkedin.com/in/carstenlaundelellis
> 
> ---------------------------------------------------
> 
> Diese E-Mail könnte vertrauliche und/oder rechtlich geschützte Informationen enthalten. Wenn Sie nicht der richtige Adressat sind oder diese E-Mail irrtümlich erhalten haben, informieren Sie bitte sofort den Absender und vernichten Sie diese Mail. Das unerlaubte Kopieren sowie die unbefugte Weitergabe dieser Mail ist nicht gestattet.
> 
> This e-mail may contain confidential and/or privileged information. If you are not the intended recipient (or have received this e-mail in error) please notify the sender immediately and destroy this e-mail. Any unauthorised copying, disclosure or distribution of the material in this e-mail is strictly forbidden.
>

Mehr Informationen über die Mailingliste Postfixbuch-users