centos:mail_c7:spam_9

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung		 Vorhergehende Überarbeitung
centos:mail_c7:spam_9 [26.11.2014 12:27. ] – [Konfiguration (single domain)] djangocentos:mail_c7:spam_9 [22.07.2019 14:46. ] (aktuell) django
Zeile 1: Zeile 1:
-<WRAP center round tip 30%>\\ 
-**//aktuell in Bearbeitung!//** 
-</WRAP> 
 ====== DKIM - Domain Key Identified Mail unter CentOS 7.x ====== ====== DKIM - Domain Key Identified Mail unter CentOS 7.x ======
 {{:centos:mail_c6:dkim-logo.png?nolink |DKIM Logo}} Zur Sicherstellung der Authentizität von E-Mail-Absendern wurde in 2004 von Yahoo ein Identifikationsprotokoll entwickelt, mit welchem die Authentizität von E-Mail-Absendern sichergestellt werden kann. Dies wurde vor allem mit dem Wunsch zur Eindämmung unerwünschter eMail wie Phishing und/oder Spam konzipiert. {{:centos:mail_c6:dkim-logo.png?nolink |DKIM Logo}} Zur Sicherstellung der Authentizität von E-Mail-Absendern wurde in 2004 von Yahoo ein Identifikationsprotokoll entwickelt, mit welchem die Authentizität von E-Mail-Absendern sichergestellt werden kann. Dies wurde vor allem mit dem Wunsch zur Eindämmung unerwünschter eMail wie Phishing und/oder Spam konzipiert.
Zeile 19: Zeile 16:
 ===== Überprüfung von DKIM-Signaturen ===== ===== Überprüfung von DKIM-Signaturen =====
 Damit unsere AMaViS-installation die Überprüfung von DKIM-Signaturen im Mailheader vornimmt bedarf es keiner großen Konfiguration. Wie in der [[http://www.ijs.si/software/amavisd/amavisd-new-docs.html#dkim-am-verify|Originaldoku]] von Marc Martinec zu entnehmen ist, müssen wir lediglich die Variable **$enable_dkim_verification** setzen, in dem wir ihr den Wert **1** zuweisen. Diese Variable findet sich in der Sektion **DKIM - Domain Key Identified Mail** wieder. Damit unsere AMaViS-installation die Überprüfung von DKIM-Signaturen im Mailheader vornimmt bedarf es keiner großen Konfiguration. Wie in der [[http://www.ijs.si/software/amavisd/amavisd-new-docs.html#dkim-am-verify|Originaldoku]] von Marc Martinec zu entnehmen ist, müssen wir lediglich die Variable **$enable_dkim_verification** setzen, in dem wir ihr den Wert **1** zuweisen. Diese Variable findet sich in der Sektion **DKIM - Domain Key Identified Mail** wieder.
-   # vim /etc/amavisd.conf+   # vim /etc/amavisd/amavisd.conf
  
 <code perl>################################################################################ <code perl>################################################################################
Zeile 61: Zeile 58:
    # ll /var/spool/amavisd/dkim    # ll /var/spool/amavisd/dkim
  
-   <code>-rw-------. 1 amavis amavis 3247 Nov 26 12:50 dkim-key-141126.pem</code>+<code>-rw-------. 1 amavis amavis 3247 Nov 26 12:50 dkim-key-141126.pem</code>
  
 In dieser Datei befindet sich nun der **private key**. In dieser Datei befindet sich nun der **private key**.
Zeile 136: Zeile 133:
 # signing domain         selector   private key                       options # signing domain         selector   private key                       options
 # -------------          --------   ----------------------            ---------- # -------------          --------   ----------------------            ----------
-dkim_key('nausch.org', '20141126', '/var/spool/amavisd/dkim/dkim-key-141126.pem');+dkim_key('nausch.org', '141126', '/var/spool/amavisd/dkim/dkim-key-141126.pem', h=>'sha256');
  
 # DKIM Signing Policies # DKIM Signing Policies
Zeile 160: Zeile 157:
 Über das Array **@dkim_signature_options_bysender_maps** können ferner Standardwerte für Signatur-Tags überschrieben werden. Dies kann per Sender(Domäne) erfolgen, oder wie im obigen Beispielals "//catch all//" für alle Absender. Über den Parameter **ttl** kann defniert werden, wie lange eine Signatur nach Erstellung als gültig erachtet werden soll - in unserem Beispiel also 3 Wochen. Der Parameter **c** definiert, wie Amavis die zur Signierung herangezogenen Daten ggf. umeschrieben werden sollen. Detailierte erklärungen hierzu entnimmt man dem Kapitel **[[http://tools.ietf.org/html/rfc4871#section-3.5|3.5 The DKIM-Signature Header Field]]** bzw. dem Kapitel **[[http://tools.ietf.org/html/rfc4871#section-3.4|3.4.  Canonicalization]]**. Über das Array **@dkim_signature_options_bysender_maps** können ferner Standardwerte für Signatur-Tags überschrieben werden. Dies kann per Sender(Domäne) erfolgen, oder wie im obigen Beispielals "//catch all//" für alle Absender. Über den Parameter **ttl** kann defniert werden, wie lange eine Signatur nach Erstellung als gültig erachtet werden soll - in unserem Beispiel also 3 Wochen. Der Parameter **c** definiert, wie Amavis die zur Signierung herangezogenen Daten ggf. umeschrieben werden sollen. Detailierte erklärungen hierzu entnimmt man dem Kapitel **[[http://tools.ietf.org/html/rfc4871#section-3.5|3.5 The DKIM-Signature Header Field]]** bzw. dem Kapitel **[[http://tools.ietf.org/html/rfc4871#section-3.4|3.4.  Canonicalization]]**.
  
 +==== Konfiguration (multiple domain) ====
 +Haben wir noch weitere [[centos:mail_c7:mta_7|virtuelle Mailserver]] am laufen, können wir durch nachfolgende exeplarische Zeilen erreichen, dass auch diese Nachrichten mit unserem DKIM-Signatur versehen werden können. 
 +   # vim /etc/amavisd/amavisd.conf
  
 +<code perl>################################################################################
 +## DKIM - Domain Key Identified Mail
 +#
  
-FIXME+# DKIM-Signaturen verifizieren 
 +$enable_dkim_verification = 1;
  
 +# DKIM-Signaturen erstellen
 +$enable_dkim_signing = 1;
  
 +# Private Keys und Selectors
 +#
 +# signing domain         selector   private key                       options
 +# -------------          --------   ----------------------            ----------
 +dkim_key('nausch.org', '141126', '/var/spool/amavisd/dkim/dkim-key-141126.pem');
 +dkim_key('omni128.de', '141126', '/var/spool/amavisd/dkim/dkim-key-141126.pem', h=>'sha256');
 +dkim_key('ebersberger-liedersammlung.de', '141126', '/var/spool/amavis/dkim/dkim-key-141126.pem', h=>'sha256');</code>
  
 +Betreiben wir einen Mailserver für sehr viele virtuellen Domänen und hat auch noch mehrere Mail-Administratoren, die sich um die Neuanlage von Domänen und deren Nutzerkonten sowie deren Pflege kümmern, so kann selbst das händische Pflegen der Domänen in den verschiedenen Konfigurationsdateien zum nervigen und fehleranfälligem Zeitvertreib werden. Abhilfe schafft hier eine zentrale Datei, in der alle lokalen Maildomänen enthalten sind und hier machen wir uns es so einfach wie nur möglich. 
  
 +Bei der [[centos:mail_c7:spam_6|Grundkonfiguration]] von AMaViS haben wir bereits in der Section **DESTINATIONS** alle localen Domains definiert.
 +   # vim /etc/amavisd/amavisd.conf
  
 +<code perl>################################################################################
 +## DESTINATIONS
 +#
  
 +# Definition der Verkehrsrichtungen:
  
 +# Das ist nach intern. Alle anderen Destinationen sind im Umkehrschluss extern.
 +@local_domains_maps = (
 +    [".$mydomain"],
 +    read_hash("/etc/postfix/all_local_domains_map"),
 +    );
  
 +...
 +</code>
  
 +Hier haben wir ja bereits eine Aufstellung aller bekannten lokalen (virtuellen) Domains. Mit Hilfe dieser Tabelle generieren wir uns nun die Liste mit den DKIM-Schlüsseln. Anstatt jede Domain einzeln in der amavisd.conf aufzuführen, binden wir einfach die liste aller Domains //**/etc/postfix/all_local_domains_map**// in die //**/etc/amavisd/amavis.conf**// ein.
 +   # vim /etc/amavisd/amavisd.conf
  
 +<code perl>################################################################################
 +## DKIM - Domain Key Identified Mail
 +#
  
 +# DKIM-Signaturen verifizieren
 +$enable_dkim_verification = 1;
  
 +# DKIM-Signaturen erstellen
 +$enable_dkim_signing = 0;
  
 +# Private Keys und Selectors
 +#
 +# signing domain         selector   private key                       options
 +# -------------          --------   ----------------------            ----------
 +# dkim_key('nausch.org', '201411', '/var/spool/amavis/dkim/201411_nausch.org');
  
 +# Django : 2014-02-19
 +# DKIM-Keys für automatisch generierte Domainliste definieren
 +  open(filehandle,'/etc/postfix/all_local_domains_map')
 +    or die "Can't open domain-list-file: $!";
 +       while (<filehandle>)
 +             {
 +              chomp; s/\s*#.*$//; next if $_ eq '';
 +              dkim_key($_, '140224', '/var/spool/amavisd/dkim/dkim-key-141126.pem', h=>'sha256');
 +             }
 +  close(filehandle) or die "Can't close domain-list-file: $!";
  
 +# DKIM Signing Policies
 +@dkim_signature_options_bysender_maps = (
 +    { '.' =>
 +        {
 +                ttl => 21*24*3600,
 +                c => 'relaxed/simple'
 +        }
 +    }
 +);
  
 +...
 +</code>
  
 +===== DKIM & DNS ===== 
 +==== public key ====
 +Wie Eingangs bereits erwähnt, kann der Empfänger eine DKIM-signierte eMail mit Hilfe des public keys auf Echtheit hin überprüfen. Damit der Empfänger den public key abfragen kann, müssen wir diesen im DNS hinterlegen. Hierzu lassen wir uns den public-key unseres DKIM-keys am besten mit Hilfe des Befehls **amavisd** ausgeben.
 +   # amavisd -c /etc/amavisd/amavisd.conf showkey nausch.org
  
 +<code>; key#2, domain nausch.org, /var/spool/amavisd/dkim/dkim-key-141126.pem
 +140224._domainkey.nausch.org.   3600 TXT (
 +  "v=DKIM1; h=sha256; p="
 +  "MIICIjANBgkqhkiG9w0BAQEFAAOCAg8AMIICCgKCAgEAojGXwA9zJFJ4wpa2PB51"
 +  "amh5s2amqyBpUJR07or9SeqZlGV0193VGGuVM72w7ry8AzTKGZKRf2oPtjgx2zAF"
 +  "FQDoewOQVDdkQG9g+VGLW/NWGc/fKhOe1i0Q+O4GMoPcJ6rNerw5mVpnPpejc8LZ"
 +  "0SE4EN6hcJ0lkgNK8wqzkWvrA5xwouuj1WfXTHm6Ov4I7HRsmHvPyOaK+jpMBBYj"
 +  "o9qRtZiU48x+DOp3ti3r/dxaS8kKCDI+ohXoruUyMUU7U5/RISCGxahO7c5fm2pC"
 +  "OdwxnmEMdb4QLgtPV1S3atyq4JFNt2Qc6C06fDzN3ylyH+orrCjBBSa75ZdVxOun"
 +  "my5Iv7GbFUqX8QAGH1l0KyZWBdlx3YRME2ZpThOjwhG9cl66cc8w7dxlIFM1XZb/"
 +  "Z8SlFHFelhaqSovYPAd30pbooU4gL+sGOqqvdc18yXB7jIjUmiBNsO7HTXiI/fly"
 +  "dl+wWylh202hlTdl1VG3Gskup8I2gpuRK7SAsbNRzr2KN05T0B/zgr0bNjiBCDNm"
 +  "CiPf+z9/22MlCVczjL0G8o11bB5E2/IBMEpBAfw48cmSzmEqGXZhluhRcfkr7oiy"
 +  "DQMObGLgidf2+pY7YoxUHigq5ptF8/Ny8hXv5FJb5DuoQTyB8atUrhYDrMcZldDD"
 +  "4sUZajSC04shzSmob+gimAMCAwEAAQ==")</code>
  
 +Möchte man sich alle Schlüssel anzeigen lassen, nutzt man einfach die Option //showkeys// beim Aufruf von **amavisd**.
 +   # amavisd -c /etc/amavisd/amavisd.conf showkeys
 +<code>; key#1, domain omni128.de, /var/spool/amavisd/dkim/dkim-key-141126.pem
 +140224._domainkey.omni128.de.   3600 TXT (                             
 +  "v=DKIM1; h=sha256; p="                                              
 +  "MIICIjANBgkqhkiG9w0BAQEFAAOCAg8AMIICCgKCAgEAojGXwA9zJFJ4wpa2PB51"   
 +  "amh5s2amqyBpUJR07or9SeqZlGV0193VGGuVM72w7ry8AzTKGZKRf2oPtjgx2zAF"   
 +  "FQDoewOQVDdkQG9g+VGLW/NWGc/fKhOe1i0Q+O4GMoPcJ6rNerw5mVpnPpejc8LZ"   
 +  "0SE4EN6hcJ0lkgNK8wqzkWvrA5xwouuj1WfXTHm6Ov4I7HRsmHvPyOaK+jpMBBYj"   
 +  "o9qRtZiU48x+DOp3ti3r/dxaS8kKCDI+ohXoruUyMUU7U5/RISCGxahO7c5fm2pC"   
 +  "OdwxnmEMdb4QLgtPV1S3atyq4JFNt2Qc6C06fDzN3ylyH+orrCjBBSa75ZdVxOun"   
 +  "my5Iv7GbFUqX8QAGH1l0KyZWBdlx3YRME2ZpThOjwhG9cl66cc8w7dxlIFM1XZb/"   
 +  "Z8SlFHFelhaqSovYPAd30pbooU4gL+sGOqqvdc18yXB7jIjUmiBNsO7HTXiI/fly"   
 +  "dl+wWylh202hlTdl1VG3Gskup8I2gpuRK7SAsbNRzr2KN05T0B/zgr0bNjiBCDNm"   
 +  "CiPf+z9/22MlCVczjL0G8o11bB5E2/IBMEpBAfw48cmSzmEqGXZhluhRcfkr7oiy"   
 +  "DQMObGLgidf2+pY7YoxUHigq5ptF8/Ny8hXv5FJb5DuoQTyB8atUrhYDrMcZldDD"   
 +  "4sUZajSC04shzSmob+gimAMCAwEAAQ=="                                 
  
 +...
  
 +...
  
 +; key#16, domain c3n705.guru, /var/spool/amavisd/dkim/dkim-key-141126.pem
 +140224._domainkey.c3n705.guru.  3600 TXT (
 +  "v=DKIM1; h=sha256; p="
 +  "MIICIjANBgkqhkiG9w0BAQEFAAOCAg8AMIICCgKCAgEAojGXwA9zJFJ4wpa2PB51"
 +  "amh5s2amqyBpUJR07or9SeqZlGV0193VGGuVM72w7ry8AzTKGZKRf2oPtjgx2zAF"
 +  "FQDoewOQVDdkQG9g+VGLW/NWGc/fKhOe1i0Q+O4GMoPcJ6rNerw5mVpnPpejc8LZ"
 +  "0SE4EN6hcJ0lkgNK8wqzkWvrA5xwouuj1WfXTHm6Ov4I7HRsmHvPyOaK+jpMBBYj"
 +  "o9qRtZiU48x+DOp3ti3r/dxaS8kKCDI+ohXoruUyMUU7U5/RISCGxahO7c5fm2pC"
 +  "OdwxnmEMdb4QLgtPV1S3atyq4JFNt2Qc6C06fDzN3ylyH+orrCjBBSa75ZdVxOun"
 +  "my5Iv7GbFUqX8QAGH1l0KyZWBdlx3YRME2ZpThOjwhG9cl66cc8w7dxlIFM1XZb/"
 +  "Z8SlFHFelhaqSovYPAd30pbooU4gL+sGOqqvdc18yXB7jIjUmiBNsO7HTXiI/fly"
 +  "dl+wWylh202hlTdl1VG3Gskup8I2gpuRK7SAsbNRzr2KN05T0B/zgr0bNjiBCDNm"
 +  "CiPf+z9/22MlCVczjL0G8o11bB5E2/IBMEpBAfw48cmSzmEqGXZhluhRcfkr7oiy"
 +  "DQMObGLgidf2+pY7YoxUHigq5ptF8/Ny8hXv5FJb5DuoQTyB8atUrhYDrMcZldDD"
 +  "4sUZajSC04shzSmob+gimAMCAwEAAQ==")
  
 +</code>
  
 +Natürlich kann man auch **openssl** dazu verwenden, sich den public-key ausgeben zu lassen.
 +   # openssl rsa -in /var/spool/amavisd/dkim/dkim-key-141126.pem -out /var/spool/amavisd/dkim/dkim-key_141126_public.pem -pubout -outform PEM
  
 +   writing RSA key
  
 +Die Dateiberechtigung passen wir entsprechend an.
 +   # chmod 600 /var/spool/amavisd/dkim/dkim-key_141126_public.pem
  
 +Die Schlüsseldatei enthält nun den public-key für unsere DKIM-Konfiguration. 
 +   # less /var/spool/amavisd/dkim/dkim-key_141126_public.pem
  
-===== domain_maps =====+<code>-----BEGIN PUBLIC KEY----- 
 +MIICIjANBgkqhkiG9w0BAQEFAAOCAg8AMIICCgKCAgEAojGXwA9zJFJ4wpa2PB51 
 +amh5s2amqyBpUJR07or9SeqZlGV0193VGGuVM72w7ry8AzTKGZKRf2oPtjgx2zAF 
 +FQDoewOQVDdkQG9g+VGLW/NWGc/fKhOe1i0Q+O4GMoPcJ6rNerw5mVpnPpejc8LZ 
 +0SE4EN6hcJ0lkgNK8wqzkWvrA5xwouuj1WfXTHm6Ov4I7HRsmHvPyOaK+jpMBBYj 
 +o9qRtZiU48x+DOp3ti3r/dxaS8kKCDI+ohXoruUyMUU7U5/RISCGxahO7c5fm2pC 
 +OdwxnmEMdb4QLgtPV1S3atyq4JFNt2Qc6C06fDzN3ylyH+orrCjBBSa75ZdVxOun 
 +my5Iv7GbFUqX8QAGH1l0KyZWBdlx3YRME2ZpThOjwhG9cl66cc8w7dxlIFM1XZb/ 
 +Z8SlFHFelhaqSovYPAd30pbooU4gL+sGOqqvdc18yXB7jIjUmiBNsO7HTXiI/fly 
 +dl+wWylh202hlTdl1VG3Gskup8I2gpuRK7SAsbNRzr2KN05T0B/zgr0bNjiBCDNm 
 +CiPf+z9/22MlCVczjL0G8o11bB5E2/IBMEpBAfw48cmSzmEqGXZhluhRcfkr7oiy 
 +DQMObGLgidf2+pY7YoxUHigq5ptF8/Ny8hXv5FJb5DuoQTyB8atUrhYDrMcZldDD 
 +4sUZajSC04shzSmob+gimAMCAwEAAQ== 
 +-----END PUBLIC KEY----- 
 +</code>
  
-   # yum install perl-DBD-MySQL -y+<WRAP round important>Den public-key lassen wir uns am besten mit Hilfe des Befehls **amavisd** ausgeben, denn so können wir einfach die Zeichenfolge direkt in die [[http://de.wikipedia.org/wiki/Zonendatei|Zonendatei des Nameserver]] [[https://dokuwiki.nausch.org/doku.php/centos:bind_c6|BIND]] ein. Somit können auch einfach größere Schlüssel, wie in unserem Beispiel **4096 bits** hinterlegt werden, da der Schlüssel bereits in mehrere TXT-Häppchen aufgeteilt wurde! 
 +</WRAP>
  
-   # mysql -h localhost -u root -p+Den, mit Hilfe von **amavisd** ausgegebenen, Public-key hinterlegen wir nun im zuständigen DNS-Server. Ist dies geschehen können wir den public key wie folgt abrufen. 
 +   # host -t TXT 140224._domainkey.sec-mail.guru
  
-<code>Enter password:  +<code>;; Truncated, retrying in TCP mode
-Welcome to the MySQL monitor.  Commands end with or \g+140224._domainkey.sec-mail.guru descriptive text "v=DKIM1\; p=" "MIICIjANBgkqhkiG9w0BAQEFAAOCAg8AMIICCgKCAgEAuJ3/CruOs3fCU0ujOStc" "NN85TJh+5HvMa9m99C5XuRBlxOr+fp5BeIEtiPO0szKvvPojwrueCq0oOuEzjR/i" "2ObpRkzKRUXmAa0qVezUZwQIbKeiuKII0PnpQclDrmQrzSXcQWPT57tkPg17Q9Wa" "mFUUaHeN3+pVGtMyjYekRaAoRlV+a1gD111kXMPhiaFTMIncoRBS/gYN8FjfekH+" "ezqbLHLB8DLJQBZEGUILvJjAHX0722XyqYtkn1qfv63nPRGw/qqAW1072Gchq4ZS" "4ZPQ89SrK4KcHt/XptSlztXMWtmRFQriHdvbjr1Fx7ZwXdTQ+ik2AUZLMdhMrQe6" "/1GujQiMD6po81NpYbrjnfd+QF4sUbus4wPQKVNzsctiuzGlWsFexSHP4dAZtKnI" "mJhVDnzZODQy0nSafedlr5g4VR36vgm0YPWjSyRNnC/APHyw0DtHIrzTqfKuDeGv" "80uMPbEdujrw9gLbK3H8ow42iTicmgPgT3J5j70ZOo4o4FMtpZ/AEQw+VnWpSfw7" "bkMjufLc29XHbtp22wfgq2Lmarr3+psaHokFaQrImkMbzdSL9CdabkLptanAilLS" "cvq8UaKVC+G1+vHDgaweq3BhXD5+YcJnJlp4msUqqxGYlnx4RSvv8PipMU2DsVFb" "NJSH5NJuS7GuzplNg+f20ysCAwEAAQ==" 
-Your MySQL connection id is 170683 +</code>
-Server version: 5.1.73 Source distribution+
  
-Copyright (c20002013Oracle and/or its affiliatesAll rights reserved.+==== ADSP ==== 
 +Über **ADSP**((**A**uthor **D**omain **S**igning **P**ractices)) kann ein (Mail)-Domaininhaber definierenwas ein Mailserver mit einer zu Annahme anstehenden eMail passieren sollsofern dessen DKIM((**D**omain**K**eys **I**dentified **M**ail))-Signatur **__nicht__** gültig ist. Für ADSP wird dazu ein eigener Qualifier **_adsp** benutzt. Am Beispiel der Domain **sec-mail.guru** ergibt sich der Name **_adsp._domainkey.sec-mail.guru**
  
-Oracle is a registered trademark of Oracle Corporation and/or its +Der (TXT)-Datensatz hat dabei folgende Struktur "//dkim=**<WERT>**//". Über den **<WERT>** kann der Domaininhaber folgendes festlegen: 
-affiliatesOther names may be trademarks of their respective +  * **unknown** Der Domaininhaber signiert einige __oder__ alle Nachrichten.  
-owners.+  * **all** __Alle__ Nachrichten der Mail-Domäne werden mit einer DKIM-Signatur versehen. 
 +  * **discardable** __Alle__ Nachrichten der Mail-Domäne werden mit einer DKIM-Signatur versehen. Darüber hinaus __empfiehlt__ der Domain-Inhaber alle Nachrichten deren DKIM-Signatur gebrochen wurde, bei der die Nachricht also manipuliert wurde, __zu verwerfen__ (REJECT). 
 +Wurde nichts definiert oder ein anderer Wert als die oben angegeben wurde, wird der Default-Wert **unknown** gesetzt. 
 +Somit ergibt sich in unserem Anwendungsbeispiel, bei dem der Domaininhaber von **sec-mail.guru** selbst alle Nachrichten signiert und dem Empfänger bittet, Nachrichten mit schadhafter DKIM-Signatur zu rejecten, folgender TXT-Record:  
 +  _adsp._domainkey.sec-mail.guru.          IN TXT  "dkim=discardable;" 
 +Diesen Record veröffentlichen wir nun über unseren DNS. Somit kann ein Empfänger nicht nur den DKIM-Schlüssel zum Verifizieren der DKIM-Signatur abfragen, sondern auch den **ADSP**-TXT-Record und weiß damit, was er ggf. machen sollte, sofern die DKIM-Signatur gebrochen wurde.
  
-Type 'help;' or '\h' for helpType '\c' to clear the current input statement.+===== Tests ===== 
 +==== DNS + private key ==== 
 +Nachdem der TXT zur Verfügung steht, können wir mit Hilfe von **amavisd** diesen Überprüfen. 
 +   # amavisd -/etc/amavisd/amavisd.conf testkeys
  
-mysqlCREATE USER 'amavisd'@'vml000067.dmz.nausch.org' IDENTIFIED BY 'hT1ojlODbxckhcn16Uy7Lk5wMO'; +  TESTING#1: 141126._domainkey.omni128.de         =pass 
-Query OK, 0 rows affected (0.01 sec)+  ... 
 +   
 +  ... 
 +  TESTING#16: 141126._domainkey.c3n705.guru       => pass
  
-mysql> CREATE USER 'amavisd'@'10.0.0.67' IDENTIFIED BY 'hT1ojlODbxckhcn16Uy7Lk5wMO'; +Wollen wir nur den Schlüssel einer bestimmten Domain testen, so verwenden wir folgenden Aufruf
-Query OK, 0 rows affected (0.01 sec)+   # amavisd -c /etc/amavisd/amavisd.conf testkey domain omni128.de
  
-mysql> GRANT ALL PRIVILEGES ON postfix.* TO 'amavisd'@'vml000067.dmz.nausch.org' IDENTIFIED BY 'hT1ojlODbxckhcn16Uy7Lk5wMO' WITH GRANT OPTION MAX_QUERIES_PER_HOUR 0 MAX_CONNECTIONS_PER_HOUR 0 MAX_UPDATES_PER_HOUR 0 MAX_USER_CONNECTIONS 0; +  TESTING#1: 141126._domainkey.omni128.de         => pass
-Query OK, 0 rows affected (0.01 sec)+
  
-mysql> GRANT ALL PRIVILEGES ON postfix.TO 'amavisd'@'10.0.0.67' IDENTIFIED BY 'hT1ojlODbxckhcn16Uy7Lk5wMO' WITH GRANT OPTION MAX_QUERIES_PER_HOUR 0 MAX_CONNECTIONS_PER_HOUR 0 MAX_UPDATES_PER_HOUR 0 MAX_USER_CONNECTIONS 0; +Das folgende Beispiel zeigt eine Abfrage, die die Fehlermeldung **invalid (public key: OpenSSL error: bad base64 decode)** nach sich zieht
-Query OK, 0 rows affected (0.01 sec)+   # amavisd -c /etc/amavisd/amavisd.conf testkey domain ebersberger-liedersammlung.de
  
-mysqlFLUSH PRIVILEGES; +  TESTING#6: 141126._domainkey.ebersberger-liedersammlung.de      =invalid (public key: OpenSSL error: bad base64 decode) 
-Query OK, 0 rows affected (0.01 sec)+Die Fehlermeldung **bad base64 decode** weißt direkt auf einem Typo-Fehler im Schlüsseldaten hin!
  
-mysqlexit +Das nächste Beispiel zeigt eine Abfrage, die eine weitere Fehlermeldung nach sich zieht: 
-Bye+   # amavisd -c /etc/amavisd/amavisd.conf testkey domain ebersberger-liedersammlung.de 
 + 
 +  TESTING#6: 141126._domainkey.ebersberger-liedersammlung.de =fail (OpenSSL error: data too large for key size) 
 + 
 +<WRAP center round tip> 
 +Erhalten wir die Fehlermeldung **fail (OpenSSL error: data too large for key size)**, so liegt es meist nicht an einem vermeintlich zu großen DKIM-Schlüssel, den wir verwenden, sondern schlichtweg an einem **Typo-Fehler** beim DNS-Eintrag unseres //DKIM-Schlüssels//
 +</WRAP> 
 + 
 +Wurde der public DKIM-Schlüssel **revoked**, also zurückgezogen, zeigt dies nachfolgende Fehlermeldung.  
 +  TESTING#6: 140224._domainkey.piraten-it.guru   => invalid (public key: revoked) 
 +Möchte man einen DKIM-Schlüssel zurückziehen (**revoke**), dann löscht man im DNS-Eintrag einfach den Teil hinter dem **//p=//**: 
 +  main._domainkey.piraten-it.guru           IN      TXT     "v=DKIM1; p=" 
 + 
 +Wir können natürlich auch direkt den TXT-Record eines Hosts abfragen eim DNS-Server abrufen: 
 +   # host -t TXT 141126._domainkey.nausch.org 
 + 
 +<code>;; Truncated, retrying in TCP mode. 
 +141126._domainkey.nausch.org descriptive text "v=DKIM1\; p=" "MIICIjANBgkqhkiG9w0BAQEFAAOCAg8AMIICCgKCAgEAuJ3/CruOs3fCU0ujOStc" "NN85TJh+5HvMa9m99C5XuRBlxOr+fp5BeIEtiPO0szKvvPojwrueCq0oOuEzjR/i" "2ObpRkzKRUXmAa0qVezUZwQIbKeiuKII0PnpQclDrmQrzSXcQWPT57tkPg17Q9Wa" "mFUUaHeN3+pVGtMyjYekRaAoRlV+a1gD111kXMPhiaFTMIncoRBS/gYN8FjfekH+" "ezqbLHLB8DLJQBZEGUILvJjAHX0722XyqYtkn1qfv63nPRGw/qqAW1072Gchq4ZS" "4ZPQ89SrK4KcHt/XptSlztXMWtmRFQriHdvbjr1Fx7ZwXdTQ+ik2AUZLMdhMrQe6" "/1GujQiMD6po81NpYbrjnfd+QF4sUbus4wPQKVNzsctiuzGlWsFexSHP4dAZtKnI" "mJhVDnzZODQy0nSafedlr5g4VR36vgm0YPWjSyRNnC/APHyw0DtHIrzTqfKuDeGv" "80uMPbEdujrw9gLbK3H8ow42iTicmgPgT3J5j70ZOo4o4FMtpZ/AEQw+VnWpSfw7" "bkMjufLc29XHbtp22wfgq2Lmarr3+psaHokFaQrImkMbzdSL9CdabkLptanAilLS" "cvq8UaKVC+G1+vHDgaweq3BhXD5+YcJnJlp4msUqqxGYlnx4RSvv8PipMU2DsVFb" "NJSH5NJuS7GuzplNg+f20ysCAwEAAQ=="</code> 
 + 
 +==== signing und verifying ==== 
 +Nachdem die Überprüfung der AMaViS/DNS-Konfiguration positiv ausgefallen war, können wir uns jetzt daran machen, das Signieren der ausgehenden Nachrichten zu aktivieren. Dazu ändern wir den vorbereiteten Eintrag in der Section **DKIM - Domain Key Identified Mail**. 
 +   # vim /etc/amavisd/amavisd.conf 
 + 
 +<code perl>################################################################################ 
 +## DKIM - Domain Key Identified Mail 
 +
 + 
 +# DKIM-Signaturen verifizieren 
 +$enable_dkim_verification = 1; 
 + 
 +# DKIM-Signaturen erstellen 
 +$enable_dkim_signing = 1; 
 + 
 +...
 </code> </code>
  
 +Anschließend führen wir einen Reload des AMaViS-Daemon durch.
 +   # systemctl reload amavisd
  
-   # vim /root/bin/generate_local_domains_map+Schicken wir nun eine Test-eMail so findet der Empfänger im Mailheader die entsprechende DKIM-Signatur. 
 +<code>DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/simple; d=nausch.org; h= 
 + content-transfer-encoding:content-type:content-type:mime-version 
 + :user-agent:from:from:date:date:message-id:received:received; s= 
 + 140224; t=1394130616; x=1395945017; bh=frcCV1k9oG9oKj3dpUqdJg1Px 
 + RT2RSN/XKdLCPjaYaY=; b=JTAoETI+ZtTJ0xFDk4DcZqDxPAq+fOuQ+BbjyYmMx 
 + izj2W0G8zJe+a5RVAKj9nFlPgPB1KtQ3rCPXmYsn59zJ/DyS30gZjkt43KQUcydr 
 + Hf3z8QmFmPWvvBx/bLKWrs9+RwsckDsJ7OSh1u3pOvqaTzdMjOcxt3CFNFXhSBj0 
 + ipOZa2FrXNeHJpAhMpAFZ9ynhxV8ekg9v000f6ZLKlzTj5MNuXzohhfdH7I1hy/
 + b9r+/zTY0NjEtCvLn2k/HBmoDxzUwx5A/XuQGTcEfBZelFgKdJuaDTNVCdlPgmSv 
 + o+LB2i8zLWNe56hrKDzEoOS872xQQvErezZ4+X7UPpMeswspcaLdnSkbeWMNGElw 
 + pTpL/h/WN3lJiVYB7+ZrC0k/V79KZWsui7og3KZ9PwyO9wB6HJOM80O8zIs8jH6o 
 + S4Gnk0yXgrx6B9wVwytAhEguDe3dhm6stQgkzvSi0sl1I9WV85OS3+5sFfOpuvju 
 + icOrI2DGNZnuFWFmbiaTLmMlw4y2QENxP/EonCuVKCGit5CGdkuJU+Q6HVfkseGU 
 + mqH8mwZRdaTcQD2M3mtGNqDYIlnCsir/whLhkFqP/zeqCAm9sRbJXAuYIfxrONDm 
 + XkEEoELtW7aIWIKM2xWagUtmVVW/FBbYOonMNuyLuC7Gf9q5gN5WqMwapJRjdtNQ 
 + dk= 
 +</code> 
 +Der empfangende Mailserver ist mit Hilfe des **Headers:// Authentication-Results://** in der Lage festzustellen, ob die eMail unverändert angekommen und somit nicht manipuliert wurde: 
 +<code>Authentication-Results: mx1.tachtler.net (amavisd-new); 
 + dkim=pass (4096-bit key) header.d=nausch.org 
 +</code>
  
-<file perl root/bin/generate_local_domains_map>#!/usr/bin/perl +Wurde die Nachricht jedoch hingegen verändert, so schlägt die Überprüfung fehl und wird entsprechend quittiert: 
-use DBI; +<code>Authentication-Resultsamavis.dmz.nausch.org (amavisd-new); 
-use strict; + dkim=fail (1024-bit key) reason="fail (message has been altered)" 
-my $config = "/etc/postfix/all_local_domains_map"; + header.d=controlc.de 
-my $dbh = DBI->connect("dbi:mysql:database=postfix;host=mysql.dmz.nausch.org:3306;user=amavisd;password=hT1ojlODbxckhcn16Uy7Lk5wMO"|| die "Cannot connect to database\n", $DBI::Errstr;+</code>
  
-my $sth = $dbh->prepare("select domain from domain where active = '1'");+Die Veränderung der Nachricht passierte in dem obigen Beispiel dadurch, dass die Nachricht aus einer Mailingliste vom Mailinglisten-Server verändert wurde, da am Ende der nachricht ein listenspezifischer Mailfooter angefügt wurde. 
  
-$sth->execute || die "failed to execute:\n "$DBI::Errstr;+<WRAP center round info> \
 +Wie man das Brechen der DKIM-Signaturen durch den Mailinglisten-Manager **mailman** unterbindetalso den Mailinglistenserver DKIM-konform konfiguriert, wird in diesem **[[centos:mail_c7:spam_9?&#besonderheit_-_mailinglisten|Abschnitt]]** erklärt. 
 +</WRAP>
  
-open (FH, "> $config") || die "Cannot open file\n"; +==== signing (WEB-online==== 
-while (my @row $sth->fetchrow_array) { +Eine sehr gute und einfache Möglichkeit die DKIM-Konfiguration zu testen, stellt die [[http://www.brandonchecketts.com/emailtest.php|DomainKeys, DKIM, SPF, SpamAssassin Email Validator]] von [[http://www.brandonchecketts.com|Brandon Checketts]] dar. 
-    print FH join(''@row)"\n"; +Die angegebene temporäre eMailadresse kopieren wir uns und schicken an diese eine Testnachricht. 
-} + 
-close FH+{{ :centos:mail_c6:email-validator.png?500 |eMail Testseite}} 
-$dbh->disconnect;+ 
 +Wir schicken also nun eine Testnachricht an die angegebene Addresse, im einfachsten FAll nutzen wir dazu einfach das Schweizer Taschenmesser für SMTP, kurz **[http://www.jetmore.org/john/code/swaks/|swaks]** 
 +   # swaks --to Dj4n90-i5-a-G33k@www.brandonchecketts.com --from n3rd@sec-mail.guru --header-X-Test "test eMail--server 10.0.0.87 --port 587 --tls --header "Subject: DKIM-Signing-Test" --auth NTLM --auth-user n3rd@sec-mail.guru --auth-password BuAGEAd!QBzAGMAaAA 
 + 
 +Über die Schaltfläche **//[View Results]//** erhalten wir dann die Prüfungsergebnisse unserer Testnachricht präsentiert.  
 +=== Original Message: === 
 +<code>Return-Path: <n3rd@sec-mail.guru> 
 +X-Original-To: Dj4n90-i5-a-G33k@www.brandonchecketts.com 
 +Delivered-To: spamapp@yen.roundsphere.com 
 +Received: from mx01.nausch.org (mx01.nausch.org [217.91.103.190]) 
 + by yen.roundsphere.com (Postfix) with ESMTP id 292D1533009D 
 + for <Dj4n90-i5-a-G33k@www.brandonchecketts.com>Thu, 27 Nov 2014 06:58:44 -0500 (EST) 
 +DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/simple; d=sec-mail.guru; h= 
 + message-id:x-mailer:subject:subject:from:from:date:date; s= 
 + 140224; t=1417089522; x=1418903923; bh=ecGWgWCJeWxJFeM0urOVWP+KO 
 + lqqvsQYKOpYUP8nk7I=; b=dT0+XLEMpY7/Mhj4ha59okpgszY8v1Kku/LLD0x2o 
 + V9eh4YN2lzh5vdsQrh3fB0wqcQwc46ypNiHrYAXdI/r5WOJqOiOIdIpFlkHmmCpU 
 + 8c808dQGgh5iEy01nkKAoJY3641CZrxp1gshtVyQUrM8x5cRhdk9KvdmHCPMkkCn 
 + vVSC/xCtLaYjNUPEad5SXnHeSjRWCkeI/raLYKzTaIAei5zNxuFQc1aOX0B33R0f 
 + z5pZZYSmw1CBYE644jTtiHcEpy6qonjwh53NL5FrI/qMbScOImtCC7r76xUu7mSf 
 + mJJw+ayVBDuzIxJEta38QySxkdcvS4YejEMTFT7ACcJoZeu0ct3Z9gXYJo301ESr 
 + ZTPoxhqNSRTs105dE26DDVlAUZjeTAtRgJlEge4zhSO4wem2qsRpFjXh7vbjKz7i 
 + Jy/6FHm8/0OpONowmUhfau9OMysQOEBwDibQWpJmM4v6nr+D+mYZvD6J76vb3f6M 
 + LJ440FpkY2EA0zQ1y9O2S62IDDS1ON+fyufJJ0W9oaelTYr45/ILfYzHKOc2xZsW 
 + +Irem5j0//HLdERT/hQqIPDp3yObGVn30fF/OX56i5h+tGTNkYpX4ykvKR7AwsiU 
 + KpPuliFssSxCR4QHC08rVoQda+AtRvGWlNEBgN3RDR65iSm7Q1fJJt3Z6LTakv7/ 
 + 38= 
 +X-Virus-Scanned: amavisd-new at nausch.org 
 +Received: from vml000087.dmz.nausch.org (vml000087.dmz.nausch.org [10.0.0.87]) 
 + (using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)) 
 + (No client certificate requested) 
 + by mx01.nausch.org (Postfix) with ESMTPSA id E9A98C00088 
 + for <Dj4n90-i5-a-G33k@www.brandonchecketts.com>; Thu, 27 Nov 2014 12:58:41 +0100 (CET) 
 +Date: Thu, 27 Nov 2014 12:58:41 +0100 
 +To: Dj4n90-i5-a-G33k@www.brandonchecketts.com 
 +From: n3rd@sec-mail.guru 
 +Subject: DKIM-Signing-Test 
 +X-Mailer: swaks v20130209.0 jetmore.org/john/code/swaks/ 
 +X-Test: test eMail 
 +Message-Id: <20141127115841.E9A98C00088@mx01.nausch.org> 
 + 
 +This is a test mailing 
 +</code> 
 + 
 +=== DKIM Information: === 
 +<code>DKIM Signature 
 + 
 +Message contains this DKIM Signature: 
 +DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/simple; d=sec-mail.guru; h= 
 + message-id:x-mailer:subject:subject:from:from:date:date; s= 
 + 140224; t=1417089522; x=1418903923; bh=ecGWgWCJeWxJFeM0urOVWP+KO 
 + lqqvsQYKOpYUP8nk7I=; b=dT0+XLEMpY7/Mhj4ha59okpgszY8v1Kku/LLD0x2o 
 + V9eh4YN2lzh5vdsQrh3fB0wqcQwc46ypNiHrYAXdI/r5WOJqOiOIdIpFlkHmmCpU 
 + 8c808dQGgh5iEy01nkKAoJY3641CZrxp1gshtVyQUrM8x5cRhdk9KvdmHCPMkkCn 
 + vVSC/xCtLaYjNUPEad5SXnHeSjRWCkeI/raLYKzTaIAei5zNxuFQc1aOX0B33R0f 
 + z5pZZYSmw1CBYE644jTtiHcEpy6qonjwh53NL5FrI/qMbScOImtCC7r76xUu7mSf 
 + mJJw+ayVBDuzIxJEta38QySxkdcvS4YejEMTFT7ACcJoZeu0ct3Z9gXYJo301ESr 
 + ZTPoxhqNSRTs105dE26DDVlAUZjeTAtRgJlEge4zhSO4wem2qsRpFjXh7vbjKz7i 
 + Jy/6FHm8/0OpONowmUhfau9OMysQOEBwDibQWpJmM4v6nr+D+mYZvD6J76vb3f6M 
 + LJ440FpkY2EA0zQ1y9O2S62IDDS1ON+fyufJJ0W9oaelTYr45/ILfYzHKOc2xZsW 
 + +Irem5j0//HLdERT/hQqIPDp3yObGVn30fF/OX56i5h+tGTNkYpX4ykvKR7AwsiU 
 + KpPuliFssSxCR4QHC08rVoQda+AtRvGWlNEBgN3RDR65iSm7Q1fJJt3Z6LTakv7/ 
 + 38= 
 + 
 + 
 +Signature Information: 
 +v= Version:         1 
 +a= Algorithm:       rsa-sha256 
 +c= Method:          relaxed/simple 
 +d= Domain:          sec-mail.guru 
 +s= Selector:        140224 
 +q= Protocol:         
 +bh=                 ecGWgWCJeWxJFeM0urOVWP+KO 
 + lqqvsQYKOpYUP8nk7I= 
 +h= Signed Headers:  message-id:x-mailer:subject:subject:from:from:date:date 
 +b= Data:            dT0+XLEMpY7/Mhj4ha59okpgszY8v1Kku/LLD0x2o 
 + V9eh4YN2lzh5vdsQrh3fB0wqcQwc46ypNiHrYAXdI/r5WOJqOiOIdIpFlkHmmCpU 
 + 8c808dQGgh5iEy01nkKAoJY3641CZrxp1gshtVyQUrM8x5cRhdk9KvdmHCPMkkCn 
 + vVSC/xCtLaYjNUPEad5SXnHeSjRWCkeI/raLYKzTaIAei5zNxuFQc1aOX0B33R0f 
 + z5pZZYSmw1CBYE644jTtiHcEpy6qonjwh53NL5FrI/qMbScOImtCC7r76xUu7mSf 
 + mJJw+ayVBDuzIxJEta38QySxkdcvS4YejEMTFT7ACcJoZeu0ct3Z9gXYJo301ESr 
 + ZTPoxhqNSRTs105dE26DDVlAUZjeTAtRgJlEge4zhSO4wem2qsRpFjXh7vbjKz7i 
 + Jy/6FHm8/0OpONowmUhfau9OMysQOEBwDibQWpJmM4v6nr+D+mYZvD6J76vb3f6M 
 + LJ440FpkY2EA0zQ1y9O2S62IDDS1ON+fyufJJ0W9oaelTYr45/ILfYzHKOc2xZsW 
 + +Irem5j0//HLdERT/hQqIPDp3yObGVn30fF/OX56i5h+tGTNkYpX4ykvKR7AwsiU 
 + KpPuliFssSxCR4QHC08rVoQda+AtRvGWlNEBgN3RDR65iSm7Q1fJJt3Z6LTakv7/ 
 + 38= 
 +Public Key DNS Lookup 
 + 
 +Building DNS Query for 140224._domainkey.sec-mail.guru 
 +Retrieved this publickey from DNS: v=DKIM1; p=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 
 +Validating Signature 
 + 
 +result = pass 
 +Details:  
 +</code> 
 + 
 +=== SPF Information: === 
 +<code>SPF Information: 
 + 
 +Using this information that I obtained from the headers 
 + 
 +Helo Address = mx01.nausch.org 
 +From Address = n3rd@sec-mail.guru 
 +From IP      = 217.91.103.190 
 +SPF Record Lookup 
 + 
 +Looking up TXT SPF record for sec-mail.guru 
 +Found the following namesevers for sec-mail.guru: ns.udagdns.net ns.udagdns.de 
 +Retrieved this SPF Record: v=spf1 mx ?all (TTL = 3600) 
 +using authoritative server {ns.udagdns.net} directly for SPF Check 
 +Result: pass (Mechanism 'mxmatched) 
 + 
 +Result code: pass 
 +Local Explanation: sec-mail.guru: 217.91.103.190 is authorized to use 'n3rd@sec-mail.guru' in 'mfrom' identity (mechanism 'mx' matched) 
 +spf_header = Received-SPF: pass (sec-mail.guru: 217.91.103.190 is authorized to use 'n3rd@sec-mail.guru' in 'mfrom' identity (mechanism 'mx' matched)) receiver=yen; identity=mailfrom; envelope-from="n3rd@sec-mail.guru"; helo=mx01.nausch.org; client-ip=217.91.103.190 
 +</code> 
 +=== SPAM-Scoring: === 
 +<code>SpamAssassin Score: -2.001 
 +Message is NOT marked as spam 
 +Points breakdown:  
 +-0.0 SPF_PASS               SPF: sender matches SPF record 
 +-1.9 BAYES_00               BODY: Bayes spam probability is 0 to 1% 
 +                            [score: 0.0000] 
 +-0.1 DKIM_VALID_AU          Message has a valid DKIM or DK signature from author'
 +                            domain 
 + 0.1 DKIM_SIGNED            Message has a DKIM or DK signature, not necessarily valid 
 +-0.1 DKIM_VALID             Message has at least one valid DKIM or DK signature 
 +</code> 
 + 
 + 
 +===== Besonderheit - Mailinglisten ===== 
 +Wie am Anfang dieses Artikels beschrieben, basiert [[http://www.dkim.org/|DKIM]] auf asymmetrischer Verschlüsselung. Die eMails werden mit zwei Signaturen versehen, die erste über ein paar Header-Zeilen der Nachricht und die zweite über den Mail-Body, also dem Inhalt einer eMail. 
 + 
 +Der empfangende Mail-Server ist nun in der Lage, an Hand des öffentlichen Schlüssels, der im TXT-Record des Domain Name System (DNS) der Domäne abrufbar ist, die beiden übermittelten DKIM-Signaturen zu  zu verifizieren. Ist die Signatur ungültig, hat der empfangende MTA1) die Möglichkeit, die Annahme der eMail zu verweigern bzw. die empfangene Nachricht auszusortieren.  
 + 
 +Und genau bei diesem Punkt haben wir nun bei unserem [[centos:mail_c6:start#mailinglistenserver_mit_mailman|Mailinglistenserver]] unter Umständen ein Problem, da sehr oft das Headerfeld "//Subject//" mit dem Namen der Mailingliste ergänzt. So wird aus der **Subject** "//DKIM-Headertest//" auf der [[https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users|Postfixmailingliste]] ein "**//[Postfixbuch-users] DKIM-Headertest//**". Ebenso wird am Ende der verteilten eMail ein **Footer** angefügt, mit Hinweisen zur Mailingliste. Bei unserem Beispiel mit der  
 +[[https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users|Postfixmailingliste]] wird folgendes eingefügt: 
 +<code>--  
 +_______________________________________________ 
 +Postfixbuch-users -- http://www.postfixbuch.de 
 +Heinlein Professional Linux Support GmbH 
 + 
 +Postfixbuch-users@listen.jpberlin.de 
 +https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users  
 +</code> 
 +Haben wir uns die Rahmenbedingungen zum **DKIM** verinnerlicht, werden wir so schnell zu dem Schluß kommen, dass die Überprüfung der DKIM-Signaturen fehlschlagen muß! Damit also die eMails unserer Kunden bei den Mailservern unserer Empfänger **nicht** mit einem Malus belegt werden, haben wir zwei Möglichkeiten: 
 +  - **eMail nicht verändern**: Der Mailheader Subject darf eben so wenig verändert werden, wie der Mailbody nicht durch Anfügen eines Listenspezifischen Footers verändert werden. 
 +  - **DKIM Header** entfernen: Soll der Mailheader mit dem **[LISTENNAMEN]** erweitert und ein listenzpezifischer Footer angefügt werden, dann soll unser **AMaViS** etwaige DKIM-Signaturen entfernen. 
 + 
 +<WRAP center round tip> \\ 
 +Nachfolgend finden sich daher Hinweise, wie man (s)einen Mailinglistenserver **Mailman** **//DKIM-konform//** konfigurieren und betreiben kann. 
 +</WRAP> 
 + 
 +==== eMail nicht verändern ==== 
 +Eine ungültige DKIM-Signatur bekommen wir immer dann, wenn der Mailheader und/oder der Mailbody, also der Nachrichtentext, nach dem Signieren von jemanden manipuliert wurde. Also werden wir nun dafür Sorge tragen, dass der Mailinglistenserver weder den Mail-Header noch den Nachrichtentext manipuliert.  
 +  * **Mailheader**: Über die Variable //**subject_prefix**// in der **Konfigurationskategorie** **[Allgemeine Optionen]** kann man den Mailinglisten Server anweisen, in der Betreffzeile eine Zeichenfolge, meist der Mailinglistenkurzmane, voranzustellen. Über die URL  **../?VARHELP=general/subject_prefix** erreichen wir diese Einstellungsmöglichkeitim Falle der Liste **wetterstation-pliening** wäre das dann entsprechend: \\ ''https://lists.nausch.org/mailman/admin/wetterstation-pliening/?VARHELP=general/subject_prefix''. \\ Wir löschen also den Inhalt der Variable und bestätigen die Konfigurationsänderung mit einem Klick auf die Schaltfläche **[Änderungen speichern]**. Diese Konfigurationsänderung ist somit sofort aktiv! {{ :centos:mail_c6:bildschirmfoto_vom_2014-03-15_15_43_12.png?nolink&600 |Bildschirmhardcopy des Mailman Webfrontends}} 
 +   
 +  * **Mailbody**: Mit Hilfe der beiden Variablen **msg_header** und **msg_footer** in der **Konfigurationskategorie** **[Non-Digest-Optionen]** kann man entweder am Anfang oder am Ende jeder Nachricht zusätzliche Hinweise einfließen lassen. So wir in aller Regel bei der Variable **msg_footer** der listenspezifische Footer mit <code>_______________________________________________ 
 +%(real_name)s mailing list 
 +%(real_name)s@%(host_name)s 
 +%(web_page_url)slistinfo%(cgiext)s/%(_internal_name)s 
 +</code> Über die URL  **../?VARHELP=nondigest/msg_header** bzw. **../?VARHELP=nondigest/msg_footer** erreichen wir diese Einstellungsmöglichkeitim Falle der Liste **wetterstation-pliening** wäre das dann entsprechend: \\ ''https://lists.nausch.org/mailman/admin/wetterstation-pliening/?VARHELP=nondigest/msg_header'' \\ bzw. \\ ''https://lists.nausch.org/mailman/admin/wetterstation-pliening/?VARHELP=nondigest/msg_footer''. \\ Wir löschen also den Inhalt der Variable und bestätigen die Konfigurationsänderung mit einem Klick auf die Schaltfläche **[Änderungen speichern]**. Diese Konfigurationsänderung ist somit sofort aktiv! {{ :centos:mail_c6:bildschirmfoto_vom_2014-03-15_15_42_43.png?nolink&600 |Bildschirmhardcopy des Mailman Webfrontends}} 
 + 
 +  * **Default-Einstellungen**: Um nun nicht bei jeder neuen Mailingliste die oben genannten Änderungen vornehmen zu müssen, tragen wir in die Konfigurationsdatei unseres Mailinglistenservers nachfolgende Zeilen ein. <code> # vim /etc/mailman/mm_cfg.py</code> <file bash /etc/mailman/mm_cfg.py>... 
 + 
 +# Django : 2014-02-09 
 +# Vorhandenen Mail-Header und Mail-Body nicht ergaenzen. (DKIM-Signatur bleibt valide) 
 +DEFAULT_SUBJECT_PREFIX = "" 
 +DEFAULT_MSG_HEADER = "" 
 +DEFAULT_MSG_FOOTER = "" 
 +# Django : 2013-02-21 
 +# Vorhandene DKIM-Header nicht entfernen 
 +REMOVE_DKIM_HEADERS = No 
 + 
 +... 
 +</file> Zur Aktivierung unserer Änderungen starten wir den Mailinglisten-Server einmal durch. <code> # service mailman condrestart</code> <code>Shutting down mailman:                                      OK  ] 
 +Starting mailman:                                          [  OK  ] 
 +</code> 
 + 
 +Mit diesen Änderungen bleiben nunmehr die DKIM-Signaturen der eingehenden Nachrichten intakt und somit valide. 
 + 
 +==== DKIM-Signaturen entfernen ==== 
 + 
 +Möchte man auf die Listenspezifischen Detailangaben im **Subject** wie auch am Ende des **Nachrichtentextes** __nicht__ verzichten, haben wir nur noch die Option, eine etwaige DKIM-Signatur vom Mailinglistenserver entfernen zu lassen. Wir tragen hierzu in die Konfigurationsdatei unseres Mailman-Mailinglistenservers nachfolgende Zeilen ein. 
 +   #  vim /etc/mailman/mm_cfg.py 
 +<file bash vim /etc/mailman/mm_cfg.py>... 
 + 
 +# Django : 2013-02-21 
 +# Vorhandene DKIM-Header entfernen 
 +REMOVE_DKIM_HEADERS = Yes 
 + 
 +...
 </file> </file>
  
 +Anschließend starten wir unseren Mailinglistenserver einmal durch.
 +   # service mailman condrestart
  
-   # chmod +x /root/bin/generate_local_domains_map+  Shutting down mailman:                                      OK  ] 
 +  Starting mailman:                                          [  OK  ]
  
 +===== Besonderheit - DMARC =====
 +Möchten wir DMARC bei der Bewertung der anzunehmenden Nachrichten mit berücksichtigen, setzen wir auf das Paket **opendkim** aus den Repository [[centos:epel7|EPEL]] ein. Dies hat gegenüber der Signaturprüfung den entscheidenden Vorteil, dass die einzelnen Milter (SPF, DKIM und DMARC) nahtlos ineinander greifen, und so die neu hinzugefügten Haeder bei der Berwertung mit Betrachtet werden können.
  
-   # vim /etc/crontab +Die Installation und Konfiguration von OpenDMARC ist im Kapitel [[centos:mail_c7:spam_12|DMARC - Domain-based Message Authentication, Reporting & Conformance]] beschrieben.
-<file bash /etc/crontab>SHELL=/bin/bash +
-PATH=/sbin:/bin:/usr/sbin:/usr/bin +
-MAILTO=root +
-HOME=/+
  
-For details see man 4 crontabs+==== Installation von OpenDKIM ==== 
 +Die Installation gestaltet sich sehr einfach, da wir das EPEL-Paket direkt mit **yum** installieren können. 
 +   yum install opendkim
  
-# Example of job definition: +Was bei der Installation alles an Dateien und Verzeichnisse neu im System hinzugefügt worden sindüberprüfen wir mit Hilfe von **rpm -qil <paketname>**
-# .---------------- minute (0 - 59) +   # rpm -qil opendkim
-# |  .------------- hour (0 - 23) +
-# |  |  .---------- day of month (1 - 31) +
-# |  |  |  .------- month (1 - 12) OR jan,feb,mar,apr ... +
-# |  |  |  |  .---- day of week (0 - 6) (Sunday=0 or 7) OR sun,mon,tue,wed,thu,fri,sat +
-# |  |  |  |  | +
-    * user-name command to be executed+
  
-# Django : 2014-11-22 +<code>Name        opendkim 
-# jede Stunde alle Maildomains in configfile für amavisd schreiben +Version     : 2.9.2 
-* * * * root /root/bin/generate_local_domains_map+Release     : 2.el7 
 +Architecture: x86_64 
 +Install Date: Wed 17 Dec 2014 03:22:40 PM CET 
 +Group       : System Environment/Daemons 
 +Size        : 591007 
 +License     : BSD and Sendmail 
 +Signature   : RSA/SHA256, Fri 08 Aug 2014 01:05:56 AM CEST, Key ID 6a2faea2352c64e5 
 +Source RPM  : opendkim-2.9.2-2.el7.src.rpm 
 +Build Date  : Mon 04 Aug 2014 10:55:31 PM CEST 
 +Build Host  : buildvm-14.phx2.fedoraproject.org 
 +Relocations : (not relocatable) 
 +Packager    : Fedora Project 
 +Vendor      : Fedora Project 
 +URL         : http://opendkim.org/ 
 +Summary     : A DomainKeys Identified Mail (DKIM) milter to sign and/or verify mail 
 +Description : 
 +OpenDKIM allows signing and/or verification of email through an open source 
 +library that implements the DKIM service, plus a milter-based filter 
 +application that can plug in to any milter-aware MTA, including sendmail, 
 +Postfix, or any other MTA that supports the milter protocol. 
 +/etc/opendkim 
 +/etc/opendkim.conf 
 +/etc/opendkim/KeyTable 
 +/etc/opendkim/SigningTable 
 +/etc/opendkim/TrustedHosts 
 +/etc/opendkim/keys 
 +/etc/sysconfig/opendkim 
 +/etc/tmpfiles.d/opendkim.conf 
 +/usr/lib/systemd/system/opendkim.service 
 +/usr/sbin/opendkim 
 +/usr/sbin/opendkim-default-keygen 
 +/usr/sbin/opendkim-genkey 
 +/usr/sbin/opendkim-genzone 
 +/usr/sbin/opendkim-reportstats 
 +/usr/sbin/opendkim-testadsp 
 +/usr/sbin/opendkim-testkey 
 +/usr/sbin/opendkim-testmsg 
 +/usr/share/doc/opendkim-2.9.2 
 +/usr/share/doc/opendkim-2.9.2/FEATURES 
 +/usr/share/doc/opendkim-2.9.2/INSTALL 
 +/usr/share/doc/opendkim-2.9.2/KNOWNBUGS 
 +/usr/share/doc/opendkim-2.9.2/LICENSE 
 +/usr/share/doc/opendkim-2.9.2/LICENSE.Sendmail 
 +/usr/share/doc/opendkim-2.9.2/README 
 +/usr/share/doc/opendkim-2.9.2/README.opendkim-reportstats 
 +/usr/share/doc/opendkim-2.9.2/RELEASE_NOTES 
 +/usr/share/doc/opendkim-2.9.2/RELEASE_NOTES.Sendmail 
 +/usr/share/doc/opendkim-2.9.2/authheaders-check-setup-hook.lua 
 +/usr/share/doc/opendkim-2.9.2/convert_keylist.sh 
 +/usr/share/doc/opendkim-2.9.2/final.lua.sample 
 +/usr/share/doc/opendkim-2.9.2/opendkim.conf.sample 
 +/usr/share/doc/opendkim-2.9.2/opendkim.conf.simple 
 +/usr/share/doc/opendkim-2.9.2/opendkim.conf.simple-verify 
 +/usr/share/doc/opendkim-2.9.2/screen.lua.sample 
 +/usr/share/doc/opendkim-2.9.2/setup.lua.sample 
 +/usr/share/man/man5/opendkim.conf.5.gz 
 +/usr/share/man/man8/opendkim-genkey.8.gz 
 +/usr/share/man/man8/opendkim-genzone.8.gz 
 +/usr/share/man/man8/opendkim-testadsp.8.gz 
 +/usr/share/man/man8/opendkim-testkey.8.gz 
 +/usr/share/man/man8/opendkim-testmsg.8.gz 
 +/usr/share/man/man8/opendkim.8.gz 
 +/var/run/opendkim 
 +/var/spool/opendkim</code> 
 + 
 +==== Konfiguration ==== 
 +Die Konfiguration von OpenDKIM ist nicht sehr aufwändig, da wir lediglich das Modul **verify** benötigen. Das Signieren der eMails überlassen wir AMaViS. Die Konfiguration hierzu findet sich im Abschnitt [[centos:mail_c7:spam_9#generierung_von_dkim-signaturen|Generierung von DKIM-Signaturen]]. 
 +   # vim /etc/opendkim.conf 
 + 
 +<file bash /etc/opendkim.conf>## BASIC OPENDKIM CONFIGURATION FILE 
 +## See opendkim.conf(5) or /usr/share/doc/opendkim-2.9.2/opendkim.conf.sample for more 
 + 
 +## BEFORE running OpenDKIM you must: 
 + 
 +## - make your MTA (Postfix, Sendmail, etc.) aware of OpenDKIM 
 +## - generate keys for your domain (if signing) 
 +## - edit your DNS records to publish your public keys (if signing) 
 + 
 +## See /usr/share/doc/opendkim-2.9.2/INSTALL for detailed instructions. 
 + 
 +## CONFIGURATION OPTIONS 
 + 
 +# Specifies the path to the process ID file. 
 +PidFile /var/run/opendkim/opendkim.pid 
 + 
 +# Selects operating modes. Valid modes are s (sign) and v (verify). Default is v. 
 +# Must be changed to s (sign only) or sv (sign and verify) in order to sign outgoing 
 +# messages. 
 +Mode    v 
 + 
 +# Log activity to the system log. 
 +Syslog  yes 
 + 
 +# Log additional entries indicating successful signing or verification of messages. 
 +SyslogSuccess   yes 
 + 
 +# If logging is enabled, include detailed logging about why or why not a message was 
 +# signed or verified. This causes an increase in the amount of log data generated 
 +# for each message, so set this to No (or comment it out) if it gets too noisy. 
 +LogWhy  yes 
 + 
 +# Attempt to become the specified user before starting operations. 
 +UserID  opendkim:opendkim 
 + 
 +# Create a socket through which your MTA can communicate. 
 +Socket  inet:8891@localhost 
 + 
 +# Required to use local socket with MTAs that access the socket as a non- 
 +# privileged user (e.g. Postfix) 
 +Umask   002 
 + 
 +# This specifies a text file in which to store DKIM transaction statistics. 
 +# OpenDKIM must be manually compiled with --enable-stats to enable this feature. 
 +#Statistics     /var/spool/opendkim/stats.dat 
 + 
 +## SIGNING OPTIONS 
 + 
 +# Selects the canonicalization method(s) to be used when signing messages. 
 +# Django : 2014-12-17 
 +# default: Canonicalization        relaxed/relaxed 
 +Canonicalization        relaxed/simple 
 + 
 +# Domain(s) whose mail should be signed by this filter. Mail from other domains will 
 +# be verified rather than being signed. Uncomment and use your domain name. 
 +# This parameter is not required if a SigningTable is in use. 
 +#Domain example.com 
 + 
 +# Defines the name of the selector to be used when signing messages. 
 +# Django : 2014-12-17 
 +# default: Selector        default 
 +# Selector      default 
 + 
 +# Specifies the minimum number of key bits for acceptable keys and signatures. 
 +# Django : 2014-12-17 
 +# default: MinimumKeyBits 1024 
 +# MinimumKeyBits 1024 
 + 
 +# Gives the location of a private key to be used for signing ALL messages. This 
 +# directive is ignored if KeyTable is enabled. 
 +# Django : 2014-12-17 
 +# default: KeyFile /etc/opendkim/keys/default.private 
 +#KeyFile        /etc/opendkim/keys/default.private 
 + 
 +# Gives the location of a file mapping key names to signing keys. In simple terms, 
 +# this tells OpenDKIM where to find your keys. If present, overrides any KeyFile 
 +# directive in the configuration file. Requires SigningTable be enabled. 
 +#KeyTable       /etc/opendkim/KeyTable 
 + 
 +# Defines a table used to select one or more signatures to apply to a message based 
 +# on the address found in the From: header field. In simple terms, this tells 
 +# OpenDKIM how to use your keys. Requires KeyTable be enabled. 
 +#SigningTable   refile:/etc/opendkim/SigningTable 
 + 
 +# Identifies a set of "external" hosts that may send mail through the server as one 
 +# of the signing domains without credentials as such. 
 +#ExternalIgnoreList     refile:/etc/opendkim/TrustedHosts 
 + 
 +# Identifies a set "internal" hosts whose mail should be signed rather than verified. 
 +#InternalHosts  refile:/etc/opendkim/TrustedHosts 
 +# Django : 2014-12-17 
 +# default: unset 
 +InternalHosts  refile:/etc/opendkim/TrustedHosts
 </file> </file>
  
 +Unsere eigenen internen Hosts tragen wir in der Konfigurationsdatei //**/etc/opendkim/TrustedHosts**// ein.
 +   # vim /etc/opendkim/TrustedHosts
 +
 +<file bash /etc/opendkim/TustedHosts># OPENDKIM TRUSTED HOSTS
 +# To use this file, uncomment the #ExternalIgnoreList and/or the #InternalHosts
 +# option in /etc/opendkim.conf then restart OpenDKIM. Additional hosts
 +# may be added on separate lines (IP addresses, hostnames, or CIDR ranges).
 +# The localhost IP (127.0.0.1) should always be the first entry in this file.
 +127.0.0.1
 +#host.example.com
 +#192.168.1.0/24
 +
 +# Django : 2014-12-17 - internes Netz eingetragen
 +# default: unset
 +10.0.0.0/24
 +</file>
 +
 +Wie schon auch bei der **[[centos:mail_c7:spam_10#konfiguration|Konfiguration vom SPF-Milter]]** definieren wir hier einen Port, an dem der Postfix-Daemon später den DKIM-Milter erreichen wird.
 +
 +In der Konfigurationsdatei **main.cf** unseres Postfix-Mailserver tragen wir dazu in der Section **MILTER** nachfolgende Zeilen ein.
 +   # vim /etc/postfix/main.cf
 +
 +<file bash /etc/postfix/main.cf>...
 +
 +################################################################################
 +## MILTER
 +# Django : 2014-11-18
 +# DMARC Test
 +#spf_milter       = inet:127.0.0.1:8890
 +opendkim_milter  = inet:127.0.0.1:8891
 +#opendmarc_milter = inet:127.0.0.1:8892
 +amavisd_milter   = inet:10.0.0.67:8899
 +...
 +</file>
 +
 +In der Konfigurationsdatei //**/etc/postfix/master.cf**// legen wir nun fest, dass bei der Annahme auf Port **25** unser gerade definierte **smf-spf**-milter verwendet werden soll.
 +   # vim /etc/postfix/master.cf
 +
 +<code>...
 +
 +smtp      inet  n                               postscreen
 +smtpd     pass  -                               smtpd
 +  -o smtpd_sasl_auth_enable=no
 +  -o smtpd_milters=${opendkim_milter},${amavisd_milter}
 +dnsblog   unix  -                               dnsblog
 +tlsproxy  unix  -                               tlspr
 +</code>
 +
 +Bei unserem AMaViS-Host passen wir nun noch die Konfiguration an. Da wir die DKIM-Verifizierung mit Hilfe des **//opendkim//-Milters** vornehmen, können wir diese Funktion beim AMaViS-Daemon abschalten. Hierzu ändern wir die Option **enable_dkim_verification**.
 +   # vim /etc/amavisd/amavisd.conf
 +
 +<code bash>...
 +
 +################################################################################
 +## DKIM - Domain Key Identified Mail
 +#
 +
 +# DKIM-Signaturen verifizieren
 +# Django : 2014-12-17
 +# DKIM-Verifizierung mit Hilfe des opendkim-Milters vornehmen
 +# old    : $enable_dkim_verification = 1;
 +$enable_dkim_verification = 0;
 +
 +# DKIM-Signaturen erstellen
 +$enable_dkim_signing = 0;
 +
 +...
 +</code>
 +
 +Anschließend aktivieren wir diese Änderung am AMaViS-Daemon.
 +   # systemctl restart amavisd
 +
 +==== Programmstart ====
 +Das Starten des Daemon erfolgt über folgenden Aufruf.
 +   # systemctl start opendkim
 +
 +Den erfolgreichen Start bzw. den Status des **smf-spf**-Daemon können wir bei Bedarf mit folgendem Aufruf abfragen.
 +   # systemctl status opendkim
 +
 +<code>opendkim.service - DomainKeys Identified Mail (DKIM) Milter
 +   Loaded: loaded (/usr/lib/systemd/system/opendkim.service; enabled)
 +   Active: active (running) since Wed 2014-12-17 16:00:28 CET; 5s ago
 +     Docs: man:opendkim(8)
 +           man:opendkim.conf(5)
 +           man:opendkim-genkey(8)
 +           man:opendkim-genzone(8)
 +           man:opendkim-testadsp(8)
 +           man:opendkim-testkey
 +           http://www.opendkim.org/docs.html
 +  Process: 19548 ExecStart=/usr/sbin/opendkim $OPTIONS (code=exited, status=0/SUCCESS)
 + Main PID: 19549 (opendkim)
 +   CGroup: /system.slice/opendkim.service
 +           └─19549 /usr/sbin/opendkim -x /etc/opendkim.conf -P /var/run/opendkim/opendkim.pid
 +
 +Dec 17 16:00:28 vml000087.dmz.nausch.org opendkim[19549]: OpenDKIM Filter v2.9.2 starting (args: -x /etc/opendkim.conf -P /var/run/opendkim/opendkim.pid)
 +Dec 17 16:00:28 vml000087.dmz.nausch.org systemd[1]: Started DomainKeys Identified Mail (DKIM) Milter.
 +</code>
 +
 +Im Syslog wird der Start des Daemon entsprechend dokumentiert
 +   # less /var/log/messages
 +<code>Dec 17 16:00:28 vml000087 systemd: Starting DomainKeys Identified Mail (DKIM) Milter...
 +Dec 17 16:00:28 vml000087 systemd: Started DomainKeys Identified Mail (DKIM) Milter.
 +Dec 17 16:01:01 vml000087 systemd: Created slice user-0.slice.
 +Dec 17 16:01:01 vml000087 systemd: Starting Session 151 of user root.
 +Dec 17 16:01:01 vml000087 systemd: Started Session 151 of user root.
 +</code>
 +
 +
 +Mit Hilfe von **netstat** können wir überprüfen, ob der Port **8891** geöffnet wurde.
 +   # netstat -tulpen
 +
 +<code>Active Internet connections (only servers)
 +Proto Recv-Q Send-Q Local Address           Foreign Address         State       User       Inode      PID/Program name    
 +tcp        0      0 0.0.0.0:25              0.0.0.0:              LISTEN      0          114172     19358/master        
 +tcp        0      0 127.0.0.1:8890          0.0.0.0:              LISTEN      993        112487     19141/smf-spf       
 +tcp        0      0 127.0.0.1:8891          0.0.0.0:              LISTEN      991        117881     19642/opendkim
 +</code>
 +
 +Gleiches können wir natürlich auch mit dem Befehl **lsof** erreichen
 +   # lsof -i:8891
 +
 +   COMMAND    PID     USER   FD   TYPE DEVICE SIZE/OFF NODE NAME
 +   opendkim 19642 opendkim    3u  IPv4 117881      0t0  TCP localhost:ddi-tcp-4 (LISTEN)
 +
 +Damit der Daemon automatisch beim Hochfahren des Servers gestartet wird, nutzen wir folgenden Aufruf.
 +   # systemctl enable opendkim.service
 +
 +   ln -s '/usr/lib/systemd/system/opendkim.service' '/etc/systemd/system/multi-user.target.wants/opendkim.service'
 +
 +Wollen wir überprüfen ob der Dienst automatisch startet, verwenden wir folgenden Aufruf. 
 +
 +   # systemctl is-enabled opendkim.service
 +
 +   enabled
 +
 +Die Rückmeldung **enabled** zeigt an, dass der Dienst automatisch startet; ein **disabled** zeigt entsprechend an, dass der Dienst __nicht__ automatisch startet.
 +
 +Nachdem wir nun unseren opendkim-Milter erfolgreich installiert und konfiguriert haben, können wir auch unseren Postfix Mailserver durchstarten, damit die Konfigurationsänderungen auf Seiten des MTA auch aktiv werden und Postfix den opendkim-Milter auch ansprechen kann.
 +
 +==== Tests und Logging ====
 +
 +Wurde die Nachricht unterwegs verändert,so fällt dies bei der Überprüfung der DKIM-Signatur auf und wird entsprechend im maillog vermerkt.
 +  Mar 26 12:52:15 vml000080 opendkim[10943]: D2B6281: s=20120113 d=gmail.com SSL error:04091068:rsa routines:INT_RSA_VERIFY:bad signature
 +
 +Hingegen wird bei positivem Ergebnis der DKIM-Validierung im maillog vermerkt.
 +  Mar 26 18:02:48 vml000080 opendkim[7535]: CECDB81: message has signatures from googlegroups.com, gmail.com
 +  Mar 26 18:02:48 vml000080 opendkim[7535]: CECDB81: DKIM verification successful
 +
 +Im Mailheader einer angenommenen eMail finden sich dann entsprechend auch Hinweise zur DKIM-Signaturüberprüfung.
 +  Authentication-Results: mx01.nausch.org; dkim=pass reason="1024-bit key"
 + header.d=piratenpartei-bayern.de header.i=@piratenpartei-bayern.de
 + header.b=WFipEQPn; dkim-adsp=pass
 +
 +Bei negativem Ergebnis wird entsprechend vermerkt.
 +  Authentication-Results: mx01.nausch.org; dkim=fail
 + reason="verification failed"
 + header.d=kitterman.com header.i=@kitterman.com header.b=g01pGD3l;
 + dkim-adsp=none
 +
 +
 +====== Links ======
 +  * **⇐ [[centos:mail_c7:spam_8|Zurück zum Kapitel "Spamassassin für AMaViS unter CentOS 7.x"]]**
 +  * **⇒ [[centos:mail_c7:spam_10|Weiter zum Kapitel "SPF - Sender Policy Framework unter CentOS 7.x"]]**
 +  * **[[centos:mail_c7:start|Zurück zum Kapitel >>Mailserverinstallation unter CentOS 7<<]]**
 +  * **[[wiki:start|Zurück zu >>Projekte und Themenkapitel<<]]**
 +  * **[[http://dokuwiki.nausch.org/doku.php/|Zurück zur Startseite]]**
  
  • centos/mail_c7/spam_9.1417004832.txt.gz
  • Zuletzt geändert: 26.11.2014 12:27.
  • (Externe Bearbeitung)