[postfix-users] Problem mit Postcreen und opendkim

[Ralf Hildebrandt]

* Ralf Zimmermann <r.zimmermann at siegnetz.de>:

> Wenn ich so drueber nachdenke, will ich DKIM auf Port 25 gar nicht
> abschalten. Wenn ich dies tue, dann werden eingehende Emails ja nicht
> mehr verifiziert.

Ah, du machst signing & verification im selben Daemon,ok

> ein Problem ist, das opendkim nicht die wahre Absender IP sieht,
> sondern durch Postcreen immer 127.0.0.1.

Das klingt ja fast wie ein Bug.

Also, ich DENKE du kannst das lösen, indem du ZWEI Milter hast, einer
der signiert, und einer der nur verifiziert.

Dann IN ETWA so machen:

smtpd     pass  -       -       -       -       -       smtpd
      -o receive_override_options=no_address_mappings
      -o smtpd_proxy_filter=127.0.0.1:8025
      -o smtpd_proxy_options=speed_adjust
      -o smtpd_milters=inet:127.0.0.1:12000

das ist der verifizierende Milter. smtpd_milters ist NUR in master.cf
definiert.

Und beim smtpd für Kunden dann:

submission inet n       -       n       -       -       smtpd
        -o smtpd_sasl_auth_enable=yes
        -o smtpd_sasl_security_options=noanonymous,noplaintext
        -o smtpd_sasl_tls_security_options=noanonymous
        -o smtpd_delay_reject=yes
        -o smtpd_recipient_restrictions=permit_mynetworks,permit_sasl_authenticated,reject
        -o smtpd_milters=inet:127.0.0.1:8891
        -o milter_macro_daemon_name=ORIGINATING
        -o syslog_name=submission
        -o smtpd_tls_security_level=may

der hat dann KEIN postscreen, und für den milter ist ORIGINATING
gesetzt. Ausserdem ists ein anderer.

-- 
Ralf Hildebrandt
  Geschäftsbereich IT | Abteilung Netzwerk
  Charité - Universitätsmedizin Berlin
  Campus Benjamin Franklin
  Hindenburgdamm 30 | D-12203 Berlin
  Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962
  ralf.hildebrandt at charite.de | http://www.charite.de