centos:mail_c7:spam_9

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung		 Vorhergehende Überarbeitung
centos:mail_c7:spam_9 [17.12.2014 15:36. ] – [Konfiguration] djangocentos:mail_c7:spam_9 [22.07.2019 14:46. ] (aktuell) django
Zeile 16: Zeile 16:
 ===== Überprüfung von DKIM-Signaturen ===== ===== Überprüfung von DKIM-Signaturen =====
 Damit unsere AMaViS-installation die Überprüfung von DKIM-Signaturen im Mailheader vornimmt bedarf es keiner großen Konfiguration. Wie in der [[http://www.ijs.si/software/amavisd/amavisd-new-docs.html#dkim-am-verify|Originaldoku]] von Marc Martinec zu entnehmen ist, müssen wir lediglich die Variable **$enable_dkim_verification** setzen, in dem wir ihr den Wert **1** zuweisen. Diese Variable findet sich in der Sektion **DKIM - Domain Key Identified Mail** wieder. Damit unsere AMaViS-installation die Überprüfung von DKIM-Signaturen im Mailheader vornimmt bedarf es keiner großen Konfiguration. Wie in der [[http://www.ijs.si/software/amavisd/amavisd-new-docs.html#dkim-am-verify|Originaldoku]] von Marc Martinec zu entnehmen ist, müssen wir lediglich die Variable **$enable_dkim_verification** setzen, in dem wir ihr den Wert **1** zuweisen. Diese Variable findet sich in der Sektion **DKIM - Domain Key Identified Mail** wieder.
-   # vim /etc/amavisd.conf+   # vim /etc/amavisd/amavisd.conf
  
 <code perl>################################################################################ <code perl>################################################################################
Zeile 350: Zeile 350:
 Somit ergibt sich in unserem Anwendungsbeispiel, bei dem der Domaininhaber von **sec-mail.guru** selbst alle Nachrichten signiert und dem Empfänger bittet, Nachrichten mit schadhafter DKIM-Signatur zu rejecten, folgender TXT-Record:  Somit ergibt sich in unserem Anwendungsbeispiel, bei dem der Domaininhaber von **sec-mail.guru** selbst alle Nachrichten signiert und dem Empfänger bittet, Nachrichten mit schadhafter DKIM-Signatur zu rejecten, folgender TXT-Record: 
   _adsp._domainkey.sec-mail.guru.          IN TXT  "dkim=discardable;"   _adsp._domainkey.sec-mail.guru.          IN TXT  "dkim=discardable;"
-Diesen Record veröffentlichen wir nun über unseren DNS. Somit kann ein Empfänger niucht nur den DKIM-Schlüssel zum verifizieren der DKIM-Signatur abfragen, sondern auch den **ADSP**-TXT-Record und weiß damit, was er ggf machen sollte, sofern die DKIM-Signatur gebrochen wurde.+Diesen Record veröffentlichen wir nun über unseren DNS. Somit kann ein Empfänger nicht nur den DKIM-Schlüssel zum Verifizieren der DKIM-Signatur abfragen, sondern auch den **ADSP**-TXT-Record und weiß damit, was er ggfmachen sollte, sofern die DKIM-Signatur gebrochen wurde.
  
 ===== Tests ===== ===== Tests =====
 ==== DNS + private key ==== ==== DNS + private key ====
 Nachdem der TXT zur Verfügung steht, können wir mit Hilfe von **amavisd** diesen Überprüfen. Nachdem der TXT zur Verfügung steht, können wir mit Hilfe von **amavisd** diesen Überprüfen.
-   # amavisd testkeys+   # amavisd -c /etc/amavisd/amavisd.conf testkeys
  
   TESTING#1: 141126._domainkey.omni128.de         => pass   TESTING#1: 141126._domainkey.omni128.de         => pass
Zeile 364: Zeile 364:
  
 Wollen wir nur den Schlüssel einer bestimmten Domain testen, so verwenden wir folgenden Aufruf. Wollen wir nur den Schlüssel einer bestimmten Domain testen, so verwenden wir folgenden Aufruf.
-   # amavisd testkey domain omni128.de+   # amavisd -c /etc/amavisd/amavisd.conf testkey domain omni128.de
  
   TESTING#1: 141126._domainkey.omni128.de         => pass   TESTING#1: 141126._domainkey.omni128.de         => pass
  
 Das folgende Beispiel zeigt eine Abfrage, die die Fehlermeldung **invalid (public key: OpenSSL error: bad base64 decode)** nach sich zieht. Das folgende Beispiel zeigt eine Abfrage, die die Fehlermeldung **invalid (public key: OpenSSL error: bad base64 decode)** nach sich zieht.
-   # amavisd testkey domain ebersberger-liedersammlung.de+   # amavisd -c /etc/amavisd/amavisd.conf testkey domain ebersberger-liedersammlung.de
  
   TESTING#6: 141126._domainkey.ebersberger-liedersammlung.de      => invalid (public key: OpenSSL error: bad base64 decode)   TESTING#6: 141126._domainkey.ebersberger-liedersammlung.de      => invalid (public key: OpenSSL error: bad base64 decode)
Zeile 375: Zeile 375:
  
 Das nächste Beispiel zeigt eine Abfrage, die eine weitere Fehlermeldung nach sich zieht: Das nächste Beispiel zeigt eine Abfrage, die eine weitere Fehlermeldung nach sich zieht:
-   # amavisd testkey domain ebersberger-liedersammlung.de+   # amavisd -c /etc/amavisd/amavisd.conf testkey domain ebersberger-liedersammlung.de
  
   TESTING#6: 141126._domainkey.ebersberger-liedersammlung.de => fail (OpenSSL error: data too large for key size)   TESTING#6: 141126._domainkey.ebersberger-liedersammlung.de => fail (OpenSSL error: data too large for key size)
Zeile 897: Zeile 897:
  
 # DKIM-Signaturen erstellen # DKIM-Signaturen erstellen
-$enable_dkim_signing = 1;+$enable_dkim_signing = 0;
  
 ... ...
Zeile 970: Zeile 970:
 Die Rückmeldung **enabled** zeigt an, dass der Dienst automatisch startet; ein **disabled** zeigt entsprechend an, dass der Dienst __nicht__ automatisch startet. Die Rückmeldung **enabled** zeigt an, dass der Dienst automatisch startet; ein **disabled** zeigt entsprechend an, dass der Dienst __nicht__ automatisch startet.
  
-Nachdem wir nun unseren opendkim-Milter erfolgreich installiert und konfiguriert haben, können wir auch ... FIXME+Nachdem wir nun unseren opendkim-Milter erfolgreich installiert und konfiguriert haben, können wir auch unseren Postfix Mailserver durchstarten, damit die Konfigurationsänderungen auf Seiten des MTA auch aktiv werden und Postfix den opendkim-Milter auch ansprechen kann.
  
 +==== Tests und Logging ====
  
 +Wurde die Nachricht unterwegs verändert,so fällt dies bei der Überprüfung der DKIM-Signatur auf und wird entsprechend im maillog vermerkt.
 +  Mar 26 12:52:15 vml000080 opendkim[10943]: D2B6281: s=20120113 d=gmail.com SSL error:04091068:rsa routines:INT_RSA_VERIFY:bad signature
 +
 +Hingegen wird bei positivem Ergebnis der DKIM-Validierung im maillog vermerkt.
 +  Mar 26 18:02:48 vml000080 opendkim[7535]: CECDB81: message has signatures from googlegroups.com, gmail.com
 +  Mar 26 18:02:48 vml000080 opendkim[7535]: CECDB81: DKIM verification successful
 +
 +Im Mailheader einer angenommenen eMail finden sich dann entsprechend auch Hinweise zur DKIM-Signaturüberprüfung.
 +  Authentication-Results: mx01.nausch.org; dkim=pass reason="1024-bit key"
 + header.d=piratenpartei-bayern.de header.i=@piratenpartei-bayern.de
 + header.b=WFipEQPn; dkim-adsp=pass
 +
 +Bei negativem Ergebnis wird entsprechend vermerkt.
 +  Authentication-Results: mx01.nausch.org; dkim=fail
 + reason="verification failed"
 + header.d=kitterman.com header.i=@kitterman.com header.b=g01pGD3l;
 + dkim-adsp=none
  
  
Zeile 981: Zeile 999:
   * **[[wiki:start|Zurück zu >>Projekte und Themenkapitel<<]]**   * **[[wiki:start|Zurück zu >>Projekte und Themenkapitel<<]]**
   * **[[http://dokuwiki.nausch.org/doku.php/|Zurück zur Startseite]]**   * **[[http://dokuwiki.nausch.org/doku.php/|Zurück zur Startseite]]**
- 
-~~DISCUSSION~~ 
- 
  
  • centos/mail_c7/spam_9.1418830600.txt.gz
  • Zuletzt geändert: 17.12.2014 15:36.
  • von django