| Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende ÜberarbeitungLetzte ÜberarbeitungBeide Seiten der Revision |
| centos:mail_c6:mta_9 [28.03.2014 15:06. ] – #DKIM: "Besonderheit - DMARC" Querverweis zu #OpenDMARC gesetzt. #DMARC #Postfix #CentOS #AMaViS django | centos:mail_c6:mta_9 [27.11.2014 12:28. ] – [DKIM-Signaturen entfernen] django |
|---|
| ====== DKIM - Domain Key Identified Mail ====== | ====== DKIM - Domain Key Identified Mail ====== |
| {{:centos:mail_c6:dkim-logo.png?nolink |DKIM Logo}} Zur Sicherstellung der Authentizität von E-Mail-Absendern wurde in 2004 von Yahoo ein Identifikationsprotokoll entwickelt, mit welchem die Authentizität von E-Mail-Absendern sichergestellt werden kann. Dies wurde vor allem mit dem Wunsch zur Eindämmung unerwünschter eMail wie Phishing und/oder Spam konzipiert. | {{:centos:mail_c6:dkim-logo.png?nolink |DKIM Logo}} Zur Sicherstellung der Authentizität von E-Mail-Absendern wurde in 2004 von Yahoo ein Identifikationsprotokoll entwickelt, mit welchem die Authentizität von E-Mail-Absendern sichergestellt werden kann. Dies wurde vor allem mit dem Wunsch zur Eindämmung unerwünschter eMail wie Phishing und/oder Spam konzipiert. |
| Ursprünglich wurde DomainKeys unter dem Titel //Domain-Based Email Authentication Using Public Keys Advertised in the DNS (DomainKeys)// im [[http://www.ietf.org/rfc/rfc4870.txt|RFC 4870]] veröffentlicht. Im [[http://www.ietf.org/rfc/rfc4871.txt|RFC 4871]] wurde dies unter dem Titel //DomainKeys Identified Mail (DKIM) Signatures// weitergeführt. | Ursprünglich wurde DomainKeys unter dem Titel //Domain-Based Email Authentication Using Public Keys Advertised in the DNS (DomainKeys)// im [[http://www.ietf.org/rfc/rfc4870.txt|RFC 4870]] veröffentlicht. Im [[http://www.ietf.org/rfc/rfc4871.txt|RFC 4871]] wurde dies unter dem Titel //DomainKeys Identified Mail (DKIM) Signatures// über- und in der aktuellen Version [[http://www.ietf.org/rfc/rfc6376.txt|RFC 6376]] weitergeführt. |
| |
| [[http://www.dkim.org/|DKIM]] basiert auf asymmetrischer Verschlüsselung, bei der eMails mit zwei Signaturen versehen werden, die erste über ein paar Header-Zeilen der Nachricht und die zweite über den Mail-Body, also dem Inhalt einer eMail. Die zugehörigen Prüfsummen werden in standardisierten DKIM-Signature-Headern in der eMail eingetragen. Weitere Informationen hierzu findet man im [[http://tools.ietf.org/html/rfc4871#section-3.5| RFC 4871]] oder in der [[http://dkim.org/specs/rfc4871-dkimbase.html#choosing-header-fields|Dokumentation]] von [[http://dkim.org|DKIM.org]]. | [[http://www.dkim.org/|DKIM]] basiert auf asymmetrischer Verschlüsselung, bei der eMails mit zwei Signaturen versehen werden, die erste über ein paar Header-Zeilen der Nachricht und die zweite über den Mail-Body, also dem Inhalt einer eMail. Die zugehörigen Prüfsummen werden in standardisierten DKIM-Signature-Headern in der eMail eingetragen. Weitere Informationen hierzu findet man im [[http://tools.ietf.org/html/rfc4871#section-3.5| RFC 4871]] oder in der [[http://dkim.org/specs/rfc4871-dkimbase.html#choosing-header-fields|Dokumentation]] von [[http://dkim.org|DKIM.org]]. |
| |
| Der empfangende Mail-Server ist nun in der Lage, an Hand des öffentlichen Schlüssels diese Daten, der im TXT-Record des Domain Name System (DNS) der Domäne abrufbar ist, die Daten zu verifizieren. Ist diese Signatur gültig, ist der Absendeserver der eMail zweifelsfrei festgestellt. Bei einem negativen Ergebnis hat nun der empfangende MTA((**M**ail **T**ransfer **A**gent)) die Möglichkeit, die Annahme der eMail zu verweigern bzw. die empfangene Nachricht auszusortieren. Wie bereits erwähnt ist dies möglich, da der sendende MTA jede versendete E-Mail im sogenannten „DomainKey-Signature-Header“ mit einer digitalen Signatur des Inhaltes der E-Mail versieht. | Der empfangende Mail-Server ist nun in der Lage, an Hand des öffentlichen Schlüssels diese Daten, der im TXT-Record des Domain Name System (DNS) der Domäne abrufbar ist, die Daten zu verifizieren. Ist diese Signatur gültig, ist der Absendeserver der eMail zweifelsfrei festgestellt. Bei einem negativen Ergebnis hat nun der empfangende MTA((**M**ail **T**ransfer **A**gent)) die Möglichkeit, die Annahme der eMail zu verweigern bzw. die empfangene Nachricht auszusortieren. Wie bereits erwähnt ist dies möglich, da der sendende MTA jede versendete E-Mail im sogenannten „DomainKey-Signature-Header“ mit einer digitalen Signatur des Inhaltes der E-Mail versieht. |
| | Der Domaininhaber (Sender) kann mit Hilfe von **ADSP**((**A**uthor **D**omain **S**igning **P**ractices)) festlegen, was der Empfänger beim Eingang einer eMail tun soll, sofern die DKIM-Signatur gebrochen wurde. Diese Policy wird, wie der öffentliche DKIM-Schlüssel auch, über den DNS publiziert. Weitere Informationen hierzu findet man im [[http://tools.ietf.org/html/rfc5617#section-4.2.1|RFC 4871]] |
| |
| ===== Installation von AMaVIS ===== | ===== Installation von AMaVIS ===== |
| "NJSH5NJuS7GuzplNg+f20ysCAwEAAQ==") | "NJSH5NJuS7GuzplNg+f20ysCAwEAAQ==") |
| </code> | </code> |
| | ===== ADSP ===== |
| | Eingangs wurde bereits schon erwähnt, dass der Domaininhaber und Absender die Möglichkeit hat, dem Empfänger weitere Informationen zur DKIM-Signatur-Policy mitzugeben. |
| | Die Publizierung erfolgt wir der öffentliche DKIM-Schlüssel auch schon über den DNS. Beim unserer Installation **nausch.org** wird der Name **<selector>**._domainkey.nausch.org benutzt, wobei der Domaininhaber den **<selector>** nutzt, den aktuellen Schlüssel an Hand eines eindeutigen Datums zu qualifizieren. Im aktuellen Beispiel lautet dieser: |
| | **140224._domainkey.nausch.org** |
| | |
| | Für **ADSP** wird der eigene Qualifier **_adsp** verwendet, somit wird lautet der Name für unsere Doamin **nausch.org**: |
| | **_adsp._domainkey.nausch.org** |
| | |
| | Der (TXT)-Datensatz hat dabei folgende Struktur "//dkim=**<WERT>**//". Über den **<WERT>** kann der Domaininhaber folgendes festlegen: |
| | * **unknown** Der Domaininhaber signiert einige oder alle Nachrichten. |
| | * **all** Alle Nachrichten der Mail-Domäne werden mit einer DKIM-Signatur versehen. |
| | * **discardable** Alle Nachrichten der Mail-Domäne werden mit einer DKIM-Signatur versehen. Darüber hinaus empfiehlt der Domain-Inhaber alle Nachrichten deren DKIM-Signatur gebrochen wurde, bei der die Nachricht also manipuliert wurde, zu Verwerfen (REJECT). |
| | Wurde nichts definiert oder ein anderer Wert als die oben angegeben wurde, wird der Wert **unknown** gesetzt. |
| | Somit ergibt sich in unserem Anwendungsbeispiel, bei dem der Domaininhaber von **sec-mail.guru** selbst alle Nachrichten signiert und dem Empfänger bittet, Nachrichten mit schadhafter DKIM-Signatur zu rejecten, folgender TXT-Record: |
| | _adsp._domainkey.sec-mail.guru. IN TXT "dkim=discardable;" |
| | Diesen Record veröffentlichen wir nun über unseren DNS. |
| |
| ===== Tests ===== | ===== Tests ===== |
| |
| Zur Aktivierung der DKIM-Signaturfunktion starten wir den AMaViS-Dämon 1x durch. | Zur Aktivierung der DKIM-Signaturfunktion starten wir den AMaViS-Dämon 1x durch. |
| # # service amavisd condrestart | # service amavisd condrestart |
| |
| Shutting down Mail Virus Scanner (amavisd): [ OK ] | Shutting down Mail Virus Scanner (amavisd): [ OK ] |
| |
| ==== DKIM-Signaturen entfernen ==== | ==== DKIM-Signaturen entfernen ==== |
| Möchte man nicht auf die Listenspezifischen Detailangaben im **Subject** wie auch am Ende des **Nachrichtentextes** nicht verzichten, haben wir nur noch die Option, eine etwaige DKIM-Signatur vom Mailinglistenserver entfernen zu lassen. Wir tragen hierzu in die Konfigurationsdatei unseres Mailman-Mailinglistenservers nachfolgende Zeilen ein. | Möchte man auf die Listenspezifischen Detailangaben im **Subject** wie auch am Ende des **Nachrichtentextes** __nicht__ verzichten, haben wir nur noch die Option, eine etwaige DKIM-Signatur vom Mailinglistenserver entfernen zu lassen. Wir tragen hierzu in die Konfigurationsdatei unseres Mailman-Mailinglistenservers nachfolgende Zeilen ein. |
| # vim /etc/mailman/mm_cfg.py | # vim /etc/mailman/mm_cfg.py |
| <file bash vim /etc/mailman/mm_cfg.py>... | <file bash vim /etc/mailman/mm_cfg.py>... |
127.0.0.1