Wie kann ich OpenDKIM so konfigurieren, dass (eingehende) nicht signierte Nachrichten, die stattdessen signiert werden sollten, weil im DNS ein Schlüssel vorhanden ist, unter Quarantäne gestellt oder abgelehnt werden?
opendkim.conf(5):
On-NoSignature (string)
Selects the action to be taken when a message arrives unsigned.
Possible values are the same as those for On-BadSignature.
The default is accept.
Ich vermute, dass dies nicht die richtige Option ist, da nicht angegeben wird, dass die Nachricht signiert sein soll (Schlüssel im DNS vorhanden). Es scheint sich lediglich auf jede „generische“, unsignierte Nachricht zu beziehen. (Liege ich falsch?)
Antwort1
Die Verwendung des On-NoSignatureParameters dient nur dazu, eine Aktion auszuführen, wenn keine Signatur vorhanden ist. Sie erreicht damit nicht Ihr Ziel, Nachrichten unter Quarantäne zu stellen, die nicht signiert sind, aber über DKIM-Einträge verfügen.
Ihr Ziel ist für allgemeine eingehende E-Mails wahrscheinlich nicht erreichbar, da der DKIM-TXT-Eintrag pro Schlüssel mit einem eindeutigen Selektor im Host des DNS-Eintrags konfiguriert ist. Daher kann ein empfangender Server nicht feststellen, ob die Domäne, von der eine nicht signierte E-Mail stammt, beim Senden durch den sendenden Server einen DKIM-Eintrag erwartet (es können mehrere Server im Namen einer Domäne senden).