[postfix-users] Problem mit Postcreen und opendkim
Ralf Zimmermann
r.zimmermann at siegnetz.de
Fr Feb 10 11:00:36 CET 2012
On 02/10/2012 10:08 AM, Ralf Hildebrandt wrote:
> * Ralf Zimmermann <r.zimmermann at siegnetz.de>:
>
>> Wenn ich so drueber nachdenke, will ich DKIM auf Port 25 gar nicht
>> abschalten. Wenn ich dies tue, dann werden eingehende Emails ja nicht
>> mehr verifiziert.
>
> Ah, du machst signing & verification im selben Daemon,ok
>
>> ein Problem ist, das opendkim nicht die wahre Absender IP sieht,
>> sondern durch Postcreen immer 127.0.0.1.
>
> Das klingt ja fast wie ein Bug.
>
> Also, ich DENKE du kannst das lösen, indem du ZWEI Milter hast, einer
> der signiert, und einer der nur verifiziert.
>
> Dann IN ETWA so machen:
>
> smtpd pass - - - - - smtpd
> -o receive_override_options=no_address_mappings
> -o smtpd_proxy_filter=127.0.0.1:8025
> -o smtpd_proxy_options=speed_adjust
> -o smtpd_milters=inet:127.0.0.1:12000
>
> das ist der verifizierende Milter. smtpd_milters ist NUR in master.cf
> definiert.
>
> Und beim smtpd für Kunden dann:
>
> submission inet n - n - - smtpd
> -o smtpd_sasl_auth_enable=yes
> -o smtpd_sasl_security_options=noanonymous,noplaintext
> -o smtpd_sasl_tls_security_options=noanonymous
> -o smtpd_delay_reject=yes
> -o smtpd_recipient_restrictions=permit_mynetworks,permit_sasl_authenticated,reject
> -o smtpd_milters=inet:127.0.0.1:8891
> -o milter_macro_daemon_name=ORIGINATING
> -o syslog_name=submission
> -o smtpd_tls_security_level=may
>
> der hat dann KEIN postscreen, und für den milter ist ORIGINATING
> gesetzt. Ausserdem ists ein anderer.
>
Hab jetzt zum Test folgendes konfiguriert. Auf Port 8891 laeuft
weiterhin opendkim zum verfizieren und signieren. Auf Port 8892 laeuft
opendkim nur zur zum Verfizieren.
Allerdings kommt jetzt keiner der beiden milter mehr zum Zug. Weder bei
SASL-Auth, noch bei eingehenden Emails.
Postfix ist folgendermassen konfiguriert.
#/etc/postfix/main.cf
...
milter_protocol = 6
milter_default_action = tempfail
#smtpd_milters = inet:localhost:8891
non_smtpd_milters = inet:localhost:8891
...
#/etc/postfix/master.cf
...
smtps inet n - - - - smtpd
-o smtpd_tls_wrappermode=yes
-o smtpd_sasl_auth_enable=yes
-o smtpd_client_restrictions=permit_sasl_authenticated,reject
-o smtpd_proxy_filter=[127.0.0.1]:10024
-o content_filter=
-o smtpd_milters=inet:127.0.0.1:8891
-o milter_default_action=tempfail
-o milter_protocol=6
-o milter_macro_daemon_name=ORIGINATING
-o syslog_name=smtps
smtp inet n - n - 1 postscreen
smtpd pass - - n - - smtpd
-o smtpd_proxy_filter=[127.0.0.1]:10024
-o smtpd_client_connection_count_limit=10
-o smtpd_proxy_options=speed_adjust
-o content_filter=
-o smtpd_milters=inet:127.0.0.1:8892
-o milter_default_action=tempfail
-o milter_protocol=6
dnsblog unix - - n - 0 dnsblog
tlsproxy unix - - n - 0 tlsproxy
Gruss
Ralf
Mehr Informationen über die Mailingliste postfix-users