Ich habe OpenDKIM mit Postfix auf Debian Wheezy installiert. Ausgehende E-Mails erhalten DKIM-Signaturen. Die SMTP- und Nicht-SMTP-Milter-Spezifikation ist identisch.
Eingehende E-Mails scheinen nicht verifiziert zu werden – in einem E-Mail-Client gibt es keinen Authentication-Results-Header. Ich habe der OpenDKIM-Konfiguration „AlwaysAddARHeader yes“ hinzugefügt, aber kein Unterschied.
Im Mail-Log gibt es beim Empfang einer Nachricht unter all den verschiedenen Einträgen zwei von opendkim. Der erste identifiziert den Server und fügt „nicht intern“ hinzu (was sinnvoll erscheint, wenn es Google ist). Der zweite sagt nur „nicht authentifiziert“. Aber ich sehe keinen Grund, warum es nicht authentifiziert ist! Wo kann ich nach der Lösung suchen?
Antwort1
Es sieht so aus, als ob ,no_miltersdie Option im Inhaltsfilterziel verhindert, dass Milter zweimal ausgeführt wird – vor und nach dem Inhaltsfilter.
Sie können ,no_miltersdie Option entfernen. Das Ergebnis ist wie folgt:
- opendkim kann jetzt E-Mails überprüfen
- Milter wird zweimal für ausgehende E-Mails ausgeführt, sodass Sie zwei DKIM-Signaturen in Ihren E-Mails haben
Wenn Sie ,no_miltersdie Option „Zurück“ erhalten, kann opendkim E-Mails immer noch signieren, verliert aber die Fähigkeit, sie zu verifizieren. Ein wenig Herumprobieren mit amavis hat gezeigt, dass amavis dieselbe ID verwendet wie opendkim, was nicht überraschend ist, da beide Standards einhalten. Da amavis den Header, den opendkim nach der Verifizierung hinzugefügt hat (tatsächlich verifiziert es Nachrichten immer noch), durch einen leeren ersetzt, sieht es so aus, als würde opendkim Nachrichten nicht verifizieren.
Es gibt also zwei Möglichkeiten, das Verschwinden dieser Kopfzeile zu verhindern:
- Führen Sie Milter nach dem Inhaltsfilter aus, was meiner Meinung nach konzeptbedingt nicht möglich ist
- verhindern, dass Amavis diesen Header überschreibt
Ich konnte keine Möglichkeit finden, Milter vor Amavis laufen zu lassen, damit es danach laufen kann. Sie können jedoch verhindern, dass Amavis diesen Header neu schreibt, indem Sie ihn $myauthservid = "amavis.local";am Ende der 50-Benutzer-Konfigurationsdatei neu definieren. So habe ich das zumindest für mich gelöst.
Antwort2
Das „nicht authentifiziert“ kann einfach daran liegen, dass der Remote-Mailserver seine Nachrichten nicht signiert. Nicht jeder da draußen signiert seine E-Mails mit DKIM. Tatsächlich ist dieser Mechanismus nicht so weit verbreitet, wie er sein sollte. Davon abgesehen wird die Tatsache, dass Sie DKIM verwenden, Ihre E-Mail-Zustellbarkeit erheblich verbessern, aber erwarten Sie nicht, dass jeder, der E-Mails an Ihre Organisation sendet, es auch verwendet. DKIM wächst meiner bescheidenen Meinung nach langsam.
Das könnte Sie interessierenExperiment zu DKIM-Bereitstellungstrends.
Wenn Sie sicher sind, dass der Remote-Server seine Nachrichten signiert und Ihr Mail-Server dies ignoriert, schlage ich vor, dass Sie Folgendes überprüfen:bekannte Fehler hier.