dkim mit Postfix und Amavis

[ciscllc]

Hallo alle zusammen!

Ich hab gerade irgendwo einen Knopf im Kopf...

Habe die Einstellungen soweit durch. Es werden auch die X-DKIM Flags gesetzt und auch eine Signatur. Aber leider zweimal, was die ganze Signatur natürlich ungültig macht.

Ich nehme an, das es am amavis liegt, da dazwischen die amavisd Virus Message liegt.

X-DKIM: Sendmail DKIM Filter v2.8.2 server3.XXXX.YYY E3A9D2E81C1A
DKIM-Signature: v=1; a=rsa-sha256; c=simple/simple; d=domain.com;
	s=default; t=1360162852;
	bh=/F6hZNhOttLjwsgR1IKIK1TTWnt+0MefWQu5rfnGMck=;
	h=Message-ID:Date:From:MIME-Version:To:Subject:Content-Type;
	b=o/G8JN3bwK/QZ+t0nQ3wA78lM0XlGUp6FYht8adfSLS90qlaiazQ8eXEvbzGvwc12
	 O0iXH5Wcnmnnpao+ekfqq/b5CjkPbnDTt4+uU/6LwMBLpnoLeWKQ1K8GeIZGFz3ZrS
	 1nF393TmsgXvxxnqcOfJj1DLa3lctoxvrIzpgUbU=
X-Virus-Scanned: amavisd-new at server3.XXXX.YYY
Received: from server3.XXXX.YYY ([127.0.0.1])
	by localhost (server3.XXXX.YYY [127.0.0.1]) (amavisd-new, port 10024)
	with ESMTP id 2OuNUi0C+Ono; Wed,  6 Feb 2013 16:00:46 +0100 (CET)
Received: from [192.168.0.146] (unknown [111.222.333.444])
	(using TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits))
	(No client certificate requested)
	by server3.XXXX.YYY (Postfix) with ESMTPSA id 391BB2E81C00;
	Wed,  6 Feb 2013 16:00:46 +0100 (CET)
X-DKIM: Sendmail DKIM Filter v2.8.2server3.XXXX.YYY 391BB2E81C00
DKIM-Signature: v=1; a=rsa-sha256; c=simple/simple; d=domain.com;
	s=default; t=1360162846;
	bh=/F6hZNhOttLjwsgR1IKIK1TTWnt+0MefWQu5rfnGMck=;
	h=Message-ID:Date:From:MIME-Version:To:Subject:Content-Type;
	b=NCZCVeg4euwqi7bx7+wVomY17jTa3oDLAXdyTMkUukQcex5LP8UpIq0oyxbeWvUxc
	 plkPoLJBIgpLGngOAh0VMEalepCq2Q0xo+OICMAmozuyLNaibGQn7Si2ei8VRvpcHe
	 DX7fpfngyfI5SCBqbaa3+AXSCkzRNQn6xHEg+3yQ=
Message-ID: <511271BF.5020104@domain.com>

/etc/postfix/main.cf - ganz am Ende:

milter_default_action 	= accept
milter_protocol 		= 2
smtpd_milters 		= inet:localhost:8891
non_smtpd_milters 		= inet:localhost:8891

/etc/dkim-filter.conf

# Common settings. See dkim-filter.conf(5) for more information.
AutoRestart		no
Background		yes
#Canonicalization	simple
Canonicalization	simple
#DNSTimeout		5
#Mode			sv
#SignatureAlgorithm	rsa-sha256
#SubDomains		no
#ADSPDiscard		no
#Version		rfc4871
X-Header		yes

Socket inet:8891@localhost

Vielleicht hat ja wer einen Tipp?

Danke!

Beste Grüße
Joe

 

[Joe User]

Amavis beim Versand einzubinden ist IMHO sinnfrei, aber es gibt andere Meinungen.

Sorge dafür, dass zuerst Amavis dann der DKIM-Prozess durchlaufen wird und gut ist.

 

[florian030]

Du musst DKIM nicht gesondert einrichten, das kann amavisd auch.

#DKIM
$enable_dkim_verification = 1;
$enable_dkim_signing = 1; # load DKIM signing code,
@dkim_signature_options_bysender_maps = (
{ '.' => { ttl => 21*24*3600, c => 'relaxed/simple' } } );
dkim_key('schaal-24.de', 'default', '/etc/postfix/dkim/default.private');

Das kannst Du für jede Domain in /etc/amavisd.conf eintragen. Du musst nur einmalig den Domain-Key erstellen.

 

[ciscllc]

@florian030

danke!

Aber ich hab keine /etc/amavisd.conf
Ich habe die Settings unter /etc/amavis/conf.d
Da gibt es eine /50-user config file. Wenn es hier platziere, ignoriert er es.

amavis debug gibt mir aber ein "DKIM code loaded" aus. Also läd er den Key.
Aber unterschreibt die Mails nicht.

 

[florian030]

Das müsstest Du auch genau so in 50-user eintragen können.

Amavis neu starten nicht vergessen.

Was gibt denn

amavisd showkeys

und

amavisd testkeys

?

 

[ciscllc]

Hier die Ausgabe:

root@server3:~# amavisd-new showkeys
; key#1, domain domain.com, /etc/dkim/keys/domain.com/default
default._domainkey.domain.com.      3600 TXT (
  "v=DKIM1; p="
  "MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDKK+7b912sO8r1Lh5dJOMcX9UL"
  "iYC9XD7dlL+kztgv+IwcdKhcOBiFfvO/XRVEaEnT4SxCDQdQNYE/vP+RTKHj9gq6"
  "tmFcg0dzss38Av2/uixBI+t3KRtZJew34/YVC8x2KmK6FCt48S+NnU0El3pHkzob"
  "PWaZlPveSQL630dCDwIDAQAB")

; key#2, domain domain2.com, /etc/dkim/keys/domain2.com/private.key
default._domainkey.domain2.com.      3600 TXT (
  "v=DKIM1; p="
  "MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCht0ecHUNQ9aqPYllW8npT7SA9"
  "eDo5yY/aD980NM27uNJIirxcsKDt0v2+8RUmekKmwCv/4jfi22yCet/bENqXb/Wp"
  "JgtlOIgqr8yNiCNWcJJWXq/WV5dhOC9k1Mla7F4dwmjHhEZlOZossiwdXi+UDOq/"
  "Eq/4wauCdAZINe3PPwIDAQAB")

root@server3:~# amavisd-new testkeys
TESTING#1: default._domainkey.domain.com => fail (bad RSA signature)
TESTING#2: default._domainkey.domains2.com => pass

OK, bei der Domain 1 muss ich mir das nochmal anschauen.

Aber es erklärt doch nicht, warum die Signatur nicht angehängt wird, oder?

Beste Grüße