DKIM Signatur

[Carsten Rosenberg]

Hallo Wolfgang,

einige Server lehnen DKIM Mails ohne verfügbaren Key tatsächlich ab.
Der eigenen Reputation wird das wohl auch eher nicht zuträglich sein,
aber in den meisten Fällen geht die Mail trotzdem durch.

Eine Signatur einer anderen Domain fließt meist einfach nicht in die
Bewertung ein.

--

Für deinen Rspamd gibt es eine sehr bequeme Funktion, dass vor dem
Signieren der Pub-Key im DNS gesucht wird und mit dem lokalen
Private-Key verglichen wird. Kein/falscher DNS Eintrag -> keine Signatur.

# If `true` get pubkey from DNS record and check if it matches private key
check_pubkey = true;

# Set to `false` if you want to skip signing if public and private keys
mismatch
allow_pubkey_mismatch = false;

Das macht sich sehr praktisch, wenn man viele Domains hat und nur die
signiert werden sollen, die den pub.key im DNS hinterlegt haben.

Viele Grüße

Carsten



On 01.07.20 14:45, Wolfgang Rosenauer wrote:
> Hallo,
> 
> nicht direkt Postfix spezifisch aber vielleicht hat jemand einen Tipp
> oder einen Link.
> 
> Ich frage mich gerade, ob es "schädlich" ist, eine DKIM Signatur in eine
> ausgehende Mail zu packen, ohne dass es einen entsprechenden DNS Eintrag
> gibt?
> 
> Hintergrund: ein Mailserver für viele Domains aber ohne direkte
> Kontrolle über die DNS Zone und damit könnte es passieren, dass Benutzer
> den Eintrag im DNS überhaupt nicht vornehmen.
> 
> Eine zweite Variante:
> Falls obiges blöd ist, könnte ich eine generische Signatur mit
> entsprechendem DNS Key generieren, deren Domain (d=) aber nicht dem
> Absender entspricht? Wie schädlich wäre das in der Praxis? DMARC hätte
> damit wohl mindestens ein Problem?
> 
> 
> 
> Danke,
>  Wolfgang
>