DKIM konforme Mailing-Listen

Tobias Hachmer tobias at hachmer.de
Mi Aug 5 07:03:08 CEST 2015 

Halo Patrick,

On 08/04/2015 10:15 PM, Patrick Ben Koetter wrote:
> * Tobias Hachmer <tobias at hachmer.de>:
>> Hallo Patrick,
>>
>> On 08/04/2015 08:46 PM, Patrick Ben Koetter wrote:
>>> * Tobias Hachmer <tobias at hachmer.de>:
>>>> Leider meckert mein Mail-Server immernoch, dass die erste DKIM-Signatur
>>>> nicht mehr korrekt sei und die Mail verändert wurde.
>>>
>>> Wie sieht denn der Transportweg aus? Zu welchem Zeitpunkt ist die SIG noch
>>> intakt? Sind da mehr Komponenten im Transportweg drin, die die Mail
>>> bearbeiten? Versuch mal nur die wirklich erforderlichen Header in die Sig
>>> einzubeziehen und nicht alles, was bis drei nicht auf dem Baum ist. ;)
>>
>> Da bin ich jetzt grade ehrlich gesagt etwas überfragt, wie ich genau
>> prüfe zu welchem Zeitpunkt die Signatur noch intakt ist.
> 
> Wie rum hast Du denn die Transportkette aufgebaut?
> 
> - Du generierst eine Mail, 
> - übergibst diese an Postfix 
> - Postfix gibt sie an amavis
> - amavis packt die DKIM-Signatur drauf
> - Postfix gibt die Mail an mailman
> - und dann...?

Bei mir ist der Weg folgendermaßen. Mein Mail-Server:

 - Thunderbird
(mein IMAP-Server)
 - Submission auf IMAP Server (ohne amavis)
 - Imap-Server hat als relayhost direktive in master.cf für submission
service meinen MTA mit extra Port 10026
(mein MTA)
 - MTA nimmt Mail an 10026
 - MTA gibt im pre-queue-filter modus die Mail an amavis (policy bank
originating auf port 10030)
 - amavis erzeugt DKIM Signatur und gibt diese wieder an Postfix zurück
 - Postfix stellt die Mail an den MTA für die Mailing Liste zu
("fremder" Mail-Server für die erwähnte Mailing-Liste)
 - Postfix nimmt Mail entgegen (pre-queue-filter)
 - Amavis verarbeitet die Mail und gibt diese an Postfix zurück
 - Postfix übergibt die Mail per transport map an mailman:, also an
/usr/lib/mailman/bin/postfix-to-mailman.py
 - Mailman gibt seine Mails an Postfix über Port 10026 ab)
 - Postfix nimmt mail auf Port 10026 im pre-queu-filter mode an und
übergibt amavis
 - amavis verarbeitet (signiert per DKIM) und übergibt wieder an Postfix
 - Postfix stellt Mail wieder meinem MTA zu
(mein MTA)
 - Postfix nimmt Mail angegen im pre-queue-filter mode übergibt an amavis
 - amavis verarbeitet (prüft dkim signaturen, etc.) und übergibt an postfix
 - postfix übergibt an IMAP Server per SMTP
(Mein IMAP-Server)
 - Postfix nimmt Mail entgegen und liefert per LMTP an Dovecot



>> Wie kann ich denn amavisd-new anweisen die DKIM-Signatur nur über
>> gewisse Header-Zeilen zu erstellen anstatt über alles? Konnte dazu
>> nichts finden.
> 
> Wenn du nicht explizit Anweisungen gegeben hast, bestimmte Header (nicht) zu
> signieren, dann passt das so. Amavis läuft mit brauchbaren
> Standardeinstellungen.

Ja, quasi Standard Einstellungen (ist ein Ubuntu Trusty System):

# DKIM
$enable_dkim_verification = 1;  # enable DKIM signatures verification
$enable_dkim_signing = 1;    # load DKIM signing code, keys defined by
dkim_key
@dkim_signature_options_bysender_maps = ( { '.' => { ttl => 21*24*3600,
c => 'relaxed/simple' } } );

Und natürlich die Keys.

Viele Grüße,
Tobias


-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 819 bytes
Beschreibung: OpenPGP digital signature
URL         : <http://de.postfix.org/pipermail/postfix-users/attachments/20150805/efe89730/attachment.sig>

Mehr Informationen über die Mailingliste postfix-users