Tsukiji Systems
RSS1.0


googleで
サイト内検索
このブログ
を検索!
  help

巻き戻し中。

2017年
10月
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30 31


2017-10-15(日) DKIM [長年日記]

_ PC 先週から

2年ぶりにやる気になって設定していたDKIM、ようやくまとまった。

とりあえずopendkim突っ込んで、uekusa.jpとuekusa-com.comだけ署名。*1

これに伴ってsendmail.cfもmcに

INPUT_MAIL_FILTER(`dkim-filter', `S=_YOUR_SOCKET_SPEC_, F=T, T=R:2m')

define(`confINPUT_MAIL_FILTERS', `dkim-filter, clamav-milter')dnl

を追加して作成。

(したのをdiff取って人力patchでcf書き換え(;^ω^))

なお、milterの設定は書かれた順番どおりに流れるので、cfで

O InputMailFilters=dkim-filter, spamassassin, clamilter

という順番になっていないと、受信時にDKIM検証する前にspamassassinやClamAVがヘッダとか書き換えて検証エラーにしかならない。

*1 というか、それ以外のドメイン送信許可してないし、SPFでも捨てて良いことにしてるw

_ PC Fromが

各サーバのアラート通知など、smartrelayで受け付けていると署名ができない。

仕方が無いので、内部サーバのメール鯖向けはsubmission/587でMUA動作にして、[アドレス]@[ドメイン名]にした。

問題はメール鯖自身のrootなどが送ってくるメール。

どうやっても[ユーザ名]@[ホスト名].[ドメイン名]となってしまい、署名とマッチしない。

sendmailのMASQUERADE使って、エンベロープごと書き換えも試したけど、そもそも書き換える時点で署名とマッチしなくなる。*1

仕方が無いので、[ユーザ名]@[ホスト名].[ドメイン名]もちゃんと署名するように、opendkim-SigningTable*2

*@[ホスト名].[ドメイン名] default._domainkey.[ホスト名].[ドメイン名]

*@[ドメイン名] default._domainkey.[ドメイン名]

とかして、opendkim-KeyTableを

default._domainkey.[ホスト名].[ドメイン名] [ホスト名].[ドメイン名]:default:/var/db/opendkim/hogehoge.private

default._domainkey.[ドメイン名] [ドメイン名]:default:/var/db/opendkim/hogehoge.private

にした上で、DNSレコードには「_domainkey」「_adsp._domainkey」「default._domainkey」を

ホスト名無し(ドメイン名のみ)とホスト名付きの両方を登録して完了。

*1 どうやらmilterよりも後で書き換えるっぽい

*2 多分上からマッチすると思うのでこの順番がベターかと。

_ PC 署名できると

完全に検証可能な署名が全部のメールに付与できれば、DKIMレコード的には「署名が無いヤツは削除してもいいよ」フラグが立てられる。

現在のところ「_adsp._domainkey」は「unknown」として緩くしてあるが、いずれ「all」か「discardable」にすることも可能だ。

ただし、会社のメールもそうだけど「DKIMで署名してるってヘッダに表示してるのに、経路の何処かに署名した要素を書き換えて検証台無しにする糞アプライアンスかスキャナがいやがる」と台無しである。。。orz



アクセスカウンター!
累計:
本日:
昨日:
最近のツッコミ

(´・ω・`)ショボーン