[postfix-es] Como implementar DomainKeys ?

SIE-Group SIE-Group siegroup01 en gmail.com
Lun Abr 4 18:32:01 CEST 2011 

Estoy siguiendo este manual *http://jason.long.name/dkfilter/* para
implementar DomainKeys, ya les había mencionado con anterioridad que tengo
implementado SPF (v1 y v2) y DKIM (dkim-milter), pero no habia conseguido
aun implementar DomainKeys, que es un servicio creado por Yahoo para que los
mails lleguen a inbox en correos de Yahoo.

Bueno, siguiendo el manual que les mencione ya, he logrado que se agregue
una cabecera referente a domainKeys, lastima que esta cabecera es algo
negativo :(, esta es la cabecera que me llega cuando me escribo desde el
servidor dedicado hacia mi cuenta de @gmail.

*[Ver Cabeceras Completas <http://pastebin.com/mghC1Zre>]*
Authentication-Results: server.miservidor.com from=contacto en miservidor.com;
domainkey=neutral (no signature; no policy for crver.net)

El header que esta arriba viene incluido ya cuando recibo el mail en mi
cuenta de @gmail, asumo que Gmail intento autentificar la firma de la
información (creo, no estoy seguro), y por esa razon se puso ese header.

Pero lo curioso es que viendo *el log* (maillog) de postfix, esa misma
header esta escrita, miren:

*shell# cat /var/log/maillog |grep dk*
Apr  4 11:47:21 server dkfilter.in[7776]: DomainKeys verification - neutral
(no signature; no policy for miservidor.com); from=<contacto en crver.net>,
message-id=<201104041547.p34FlLjY008767 en server.miservidor.com>
Apr  4 11:47:21 server dkim-filter[6332]: 4BCDF5240FD "DKIM-Signature"
header added

Como se observa, la header de *DomainKeys* la pega directamente asi el
servidor :S (antes de sacar el mail creo), y la segunda linea indica que el
*DKIM* se pego la cabecera con exito. Bueno con esto creo que esta un poco
mas claro el proceso no ?. Vaya, yo asumo que el dkfilter pasa el mail hacia
el programa de firmado de DomainKeys y al no ver, identificar (o hacer algo)
la firma (para firmar el correo), pega esta cabecera directamente y asi
mismo es como se va el correo :S. Pero bueno, estas son *solo suposiciones*,
igual y no es asi.

Alguien que me eche la mano ?....

Aqui les paso la configuracion del *postfix*:

*[Ver archivo RAW <http://pastebin.com/n7rVCUcP>]*
*shell# cat /etc/postfix/master.cf*
smtp      inet  n       -       n       -       -       smtpd -v
    -o smtpd_proxy_filter=127.0.0.1:10025
    -o smtpd_client_connection_count_limit=10
127.0.0.1:10026        inet    n    -    n    -    -    smtpd
    -o smtpd_authorized_xforward_hosts=127.0.0.0/8
    -o smtpd_client_restrictions=
    -o smtpd_helo_restrictions=
    -o smtpd_sender_restrictions=
    -o smtpd_recipient_restrictions=permit_mynetworks,reject
    -o smtpd_data_restrictions=
    -o mynetworks=127.0.0.0/8
    -o receive_override_options=no_unknown_recipient_checks
submission inet n       -       n       -       -       smtpd
    -o smtpd_etrn_restrictions=reject
    -o smtpd_sasl_auth_enable=yes
    -o content_filter=dksign:[127.0.0.1]:10027
    -o receive_override_options=no_address_mappings
    -o
smtpd_recipient_restrictions=permit_mynetworks,permit_sasl_authenticated,reject
dksign    unix    -    -    n    -    10    smtp
    -o smtp_send_xforward_command=yes
    -o smtp_discard_ehlo_keywords=8bitmime
127.0.0.1:10028    inet    n    -    n    -    10    smtpd
    -o content_filter=
    -o
receive_override_options=no_unknown_recipient_checks,no_header_body_checks
    -o smtpd_helo_restrictions=
    -o smtpd_client_restrictions=
    -o smtpd_sender_restrictions=
    -o smtpd_recipient_restrictions=permit_mynetworks,reject
    -o mynetworks=127.0.0.0/8
    -o smtpd_authorized_xforward_hosts=127.0.0.0/8

Sobre el *dkfilter* tengo la version mas reciente *dkfilter-0.11.tar.gz*, y
este es la configuracion del deamon:

*shell# cat /etc/init.d/dkfilter*
[Ver Archivo porque esta largo <http://pastebin.com/GGPNNYee>]

Si vieron el archivo init de dkfilter, notaran las siguientes lineas:

DKFILTERDIR=/usr/local/dkfilter
DKFILTER_OUT_ARGS="
    --keyfile=$DKFILTERDIR/default.key.priv
    --selector=default
    --domain=$DOMAIN
    --method=nofws
    --headers
    127.0.0.1:10027 127.0.0.1:10028"

En estas lineas verán que se invoca el archivo donde viene la firma, que es
*default.key.priv*, este mismo archivo *SI EXISTE* dentro de mi sistema en
la carpeta correcta, y aun asi sale el error. Con esto quiero dejar claro
que el archivo donde viene la firma si esta en su posición y en existencia.

Saludos !

El 4 de abril de 2011 08:32, SIE-Group SIE-Group <siegroup01 en gmail.com>escribió:

> Buen día.
>
> Tengo un servidor dedicado al cual ya le implemente con exito los servicios
> de: SPF v1, SPF v2 y DKIM.
> Los Servicios de *SPF (v1 y v2)* se implementaron en el BIND y haciendo
> pruebas de envío, GMAIL nos ha puesto *pass* en la comprobación.
> El *DKIM* lo hemos confirmado mediante el mismo GMAIL debido a que aparece
> la firma digital del correo, y por otra parte también se publico la clave en
> el BIND.
>
> Para DKIM utilizo el programa *dkim-milter* que viene en los repositorios
> de CentOS (el S.O. que tiene el dedicado).
>
> Quisiera saber cual seria la mejor forma de implementar *DomainKeys*, he
> estado leyendo que al parecer puede implementarse usando el mismo *
> dkim-milter*, pero la verdad no se si sea cierto ni como se haria. Los
> otros manuales que he leido, han implementado DomainKeys con el paquete *
> dk-filter*, pero buscando en los repos de CentOS, el paquete dk-filter no
> viene.
>
> Espero su consejo para continuar con la implementacion !
>
> Saludos !
>
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <http://lists.wl0.org/pipermail/postfix-es/attachments/20110404/af4470ed/attachment.html>

Más información sobre la lista de distribución postfix-es