O OpenDKIM não assina correio

9

Portanto, estou tendo problemas para conseguir que o OpenDKIM assine minhas mensagens, mas estou atingindo uma barreira quanto ao que pode estar causando isso:

No Debian Jessie, com Postfix e OpenDKIM.

Meu /etc/opendkim.conf:

Syslog                  yes
SyslogSuccess           Yes
LogWhy yes
UMask                   002
Canonicalization        relaxed/simple
Mode                    sv
SubDomains              no
#ADSPAction             continue
AutoRestart             Yes
AutoRestartRate         10/1h
Background              yes
DNSTimeout              5
SignatureAlgorithm      rsa-sha256
UserID                  opendkim:opendkim
Socket                  inet:12301@localhost
KeyTable        refile:/etc/opendkim/KeyTable
SigningTable    refile:/etc/opendkim/SigningTable
ExternalIgnoreList      refile:/etc/opendkim/TrustedHosts
InternalHosts   refile:/etc/opendkim/TrustedHosts

Meu /etc/opendkim/KeyTable:

default._domainkey.example.com example.com:default:/etc/opendkim/keys/example.com/default.private

Meu /etc/opendkim/SigningTable:

example.com default._domainkey.example.com

Tentei a seguinte variação no SigningTable, mas isso desabilitou meu SMTP:

*@example.com default._domainkey.example.com

Descomente a seguinte linha no meu /etc/default/opendkim:

SOCKET="inet:12345@localhost

Tenha o seguinte no meu /etc/postfix/main/cf:

# DKIM
milter_default_action = accept
milter_protocol = 6
smtpd_milters = inet:localhost:12345
non_smtpd_milters = inet:localhost:12345

É isso que opendkim-testkey -d example.com -s default -vvvretorna:

opendkim-testkey: using default configfile /etc/opendkim.conf
opendkim-testkey: checking key 'default._domainkey.example.com'
opendkim-testkey: key not secure
opendkim-testkey: key OK

Parece que não há erros nos meus logs relacionados ao opendkim, mas quando tento verificar a assinatura, o mail-tester.com não informa nenhuma assinatura DKIM, [email protected] retorna uma verificação DKIM: none.

Qualquer ajuda para identificar o que estou perdendo seria muito apreciada. Obrigado.

anark10n
fonte

Respostas:

7

Problemas que vejo:

  • O uso do refile
    Da documentação :

    Se a sequência começar com "refile:", presume-se que o restante da sequência especifique um arquivo que contenha um conjunto de padrões, um por linha e seus valores associados. O padrão é levado como o início da linha para o primeiro espaço em branco e a parte após esse espaço em branco é tomada como o valor a ser usado quando esse padrão é correspondido. Os padrões são padrões curinga simples, correspondendo a todo o texto, exceto que o caractere asterisco ("*") é considerado um curinga. Se um valor contiver várias entradas, as entradas deverão ser separadas por dois pontos.

    A KeyTable não segue esse padrão, portanto não precisa da refilepalavra - chave. Talvez não doa, eu não sei. Eu não uso na minha configuração lá, e funciona para mim.

    KeyTable        /etc/opendkim/KeyTable
    SigningTable    refile:/etc/opendkim/SigningTable
    
  • Your KeyTable

    As linhas devem começar com o domínio, não com o registro domainkey:

    example.com example.com:default:/etc/opendkim/keys/example.com/default.private
    
  • SigningTable

    A tabela de assinatura deve mapear endereços de email para o domínio. Deve ficar assim:

    *@example.com example.com
    

    Aqui a refilepalavra-chave é necessária.

Não conheço ExternalIgnoreListe InternalHosts, como não os uso. O resto da configuração parece bom para mim.

Gerald Schneider
fonte
Eu não acho que seus comentários sobre KeyTable / Signingtable estejam corretos; a linha começa com o nome da chave, que no seu caso agora é example.com. O nome indicado default._domainkey.example.comé perfeitamente sensato. Em seguida, o SigningTable mapeia endereços de email para nomes-chave, não para o domínio.
TacoV 21/04