{"id":112,"date":"2012-11-10T22:01:28","date_gmt":"2012-11-10T21:01:28","guid":{"rendered":"http:\/\/hitco.at\/blog\/?p=112"},"modified":"2012-11-10T22:02:24","modified_gmt":"2012-11-10T21:02:24","slug":"domainkeys-identified-mail-dkim-mit-postfix-auf-debian-6","status":"publish","type":"post","link":"https:\/\/hitco.at\/blog\/domainkeys-identified-mail-dkim-mit-postfix-auf-debian-6\/","title":{"rendered":"DomainKeys Identified Mail (DKIM) mit Postfix auf Debian 6"},"content":{"rendered":"

DomainKeys<\/a> ist ein Identifikationsprotokoll<\/a> zur Sicherstellung der Authentizit\u00e4t<\/a> von E-Mail<\/a>-Absendern. Das Paket dk-filter<\/a> wird f\u00fcr Debian 6 nicht (mehr) gepflegt, der Nachfolger\u00a0DomainKeys Identified Mail (DKIM)<\/em> steht jedoch in Form des Paketes dkim-filter<\/a> zur Verf\u00fcgung.<\/p>\n

Anleitungen zum Einsatz von dkim-filter unter Debian 6 findet man zuhauf. Nachfolgend jedoch ein paar Notizen, zumal ich diese L\u00f6sungen durch etwas T\u00fcftelei herausfinden musste, und Tante Google dabei nicht sonderlich behilflich war.<\/p>\n

Um sich allgemein mit DKIM vertraut zu machen, kann der auf heise.de publizierte Artikel „E-Mails signieren mit DKIM<\/a>“ empfohlen werden.<\/p>\n

Die grunds\u00e4tzliche Vorgangsweise kann dem Debian Tutorial „Setup DomainKeys Identified Mail<\/a>“ entnommen werden.<\/p>\n

Bei der Erzeugung des Schl\u00fcssels sollte ein mindestens 1024bit RSA-Schl\u00fcssel verwendet werden, um nicht in die auf heise.de neulich publizierte Schwachstelle<\/a> zu tappen. Domains\/Server die besonders im Rampenlicht stehen sollten sich eventuell sogar einen 2048bit RSA-Schl\u00fcssel leisten.<\/p>\n

Folgt man dem Debian Tutorial, so k\u00e4mpft man anschlie\u00dfend mit zwei Problemen.<\/p>\n

1. Die mail.log zeigt Eintr\u00e4ge der Form<\/p>\n

\u00a0postfix\/smtpd[23299]: warning: connect to Milter service inet:localhost:8891: Connection refused<\/p><\/blockquote>\n

Die Ursache des Problems liegt darin, dass Postfix auf meinem Server DualStack IPv4\/IPv6 konfiguriert ist, und der Zugriff auf „localhost“ zuerst mit IPv6 versucht wird. Die L\u00f6sung dieses Problems liegt ganz simpel darin, die Postfix Konfigurationsdatei main.cf anstatt auf localhost auf 127.0.0.1 verweisen zu lassen.<\/p>\n

milter_default_action = accept\r\nmilter_protocol = 2\r\nsmtpd_milters = inet:127.0.0.1:8891\r\nnon_smtpd_milters = inet:127.0.0.1:8891<\/pre>\n
2. Problem: die DKIM-Signatur wird nicht nur ein mal, sondern doppelt in den Mail-Header eingef\u00fcgt. Dies resultiert daraus, dass die Mails nach Pr\u00fcfung durch AMAVIS erneut Postfix durchlaufen. Abhilfe ist hier die Erg\u00e4nzung von no_milters in der master.cf:<\/p>\n
127.0.0.1:10025 inet n\u00a0 -\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 n\u00a0\u00a0\u00a0\u00a0 -\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 -\u00a0 smtpd\r\n#\u00a0 .... diverse Optionen entfernt, da f\u00fcr dieses Anleitung irrelevant ...\r\n\u00a0\u00a0\u00a0 -o receive_override_options=no_header_body_checks,no_unknown_recipient_checks,<\/span>no_milters<\/span><\/strong><\/pre>\n
Die DKIM Signatur wird von diversen prominenten (Free-)Mailern gepr\u00fcft, z.B. GoogleMail (Siehe Abbildung).<\/p>\n
\"\"<\/a><\/p>\n
 <\/p>\n
 <\/p>\n","protected":false},"excerpt":{"rendered":"
DomainKeys ist ein Identifikationsprotokoll zur Sicherstellung der Authentizit\u00e4t von E-Mail-Absendern. Das Paket dk-filter wird f\u00fcr Debian 6 nicht (mehr) gepflegt, der Nachfolger\u00a0DomainKeys Identified Mail (DKIM) steht jedoch in Form des Paketes dkim-filter zur Verf\u00fcgung. Anleitungen zum Einsatz von dkim-filter unter Debian 6 findet man zuhauf. Nachfolgend jedoch ein paar Notizen, zumal ich diese L\u00f6sungen durch etwas T\u00fcftelei herausfinden musste, und… <\/p>\n","protected":false},"author":1,"featured_media":117,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"ngg_post_thumbnail":0,"footnotes":""},"categories":[3,21,13],"tags":[],"class_list":["post-112","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-it","category-netzwerk","category-server"],"_links":{"self":[{"href":"https:\/\/hitco.at\/blog\/wp-json\/wp\/v2\/posts\/112","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/hitco.at\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/hitco.at\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/hitco.at\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/hitco.at\/blog\/wp-json\/wp\/v2\/comments?post=112"}],"version-history":[{"count":8,"href":"https:\/\/hitco.at\/blog\/wp-json\/wp\/v2\/posts\/112\/revisions"}],"predecessor-version":[{"id":121,"href":"https:\/\/hitco.at\/blog\/wp-json\/wp\/v2\/posts\/112\/revisions\/121"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/hitco.at\/blog\/wp-json\/wp\/v2\/media\/117"}],"wp:attachment":[{"href":"https:\/\/hitco.at\/blog\/wp-json\/wp\/v2\/media?parent=112"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/hitco.at\/blog\/wp-json\/wp\/v2\/categories?post=112"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/hitco.at\/blog\/wp-json\/wp\/v2\/tags?post=112"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}