У меня уже работает Postfix + spamassassin, и я представляю opendkim.
Я почти готов, за исключением того, что исходящие сообщения дважды подписываются DKIM, что не только бесполезно, но даже делает их недействительными.
Насколько я понял, все сводится к тому, что Postfix вызывает opendkim, затем передает сообщение spamassassin, который, в свою очередь, возвращает его postfix, который снова вызывает opendkim.
При этом я не знаю, что изменить в конфигурации, чтобы этого не произошло.
Я не думаю, что сама конфигурация DKIM неправильна. Я следил за следующими уроками:
/etc/opendkim.conf
KeyTable refile:/etc/postfix/dkim/keytable
SigningTable refile:/etc/postfix/dkim/signingtable
ExternalIgnoreList refile:/etc/postfix/dkim/TrustedHosts
InternalHosts refile:/etc/postfix/dkim/TrustedHosts
/ и т.д. / постфикс / dkim / TrustedHosts
127.0.0.1
::1
localhost
xxx.xxx.xxx.xxx (server IP)
xxxx:xxxx:... (server IPv6)
domain.tld
*.domain.tld
Конфигурация Postfix следующая.
Я добавил эти строки в main.cf:
[...]
milter_default_action = accept
milter_protocol = 2
smtpd_milters = inet:localhost:8891, inet:localhost:8892
non_smtpd_milters = $smtpd_milters
Я оставил master.cf нетронутым:
# ==========================================================================
# service type private unpriv chroot wakeup maxproc command + args
# (yes) (yes) (no) (never) (100)
# ==========================================================================
smtp inet n - y - - smtpd
-o content_filter=spamassassin
#smtp inet n - y - 1 postscreen
#smtpd pass - - y - - smtpd
#dnsblog unix - - y - 0 dnsblog
#tlsproxy unix - - y - 0 tlsproxy
#submission inet n - y - - smtpd
# -o syslog_name=postfix/submission
# -o smtpd_tls_security_level=encrypt
# -o smtpd_sasl_auth_enable=yes
# -o smtpd_reject_unlisted_recipient=no
# -o smtpd_client_restrictions=$mua_client_restrictions
# -o smtpd_helo_restrictions=$mua_helo_restrictions
# -o smtpd_sender_restrictions=$mua_sender_restrictions
# -o smtpd_recipient_restrictions=
# -o smtpd_relay_restrictions=permit_sasl_authenticated,reject
# -o milter_macro_daemon_name=ORIGINATING
#smtps inet n - y - - smtpd
# -o syslog_name=postfix/smtps
# -o smtpd_tls_wrappermode=yes
# -o smtpd_sasl_auth_enable=yes
# -o smtpd_reject_unlisted_recipient=no
# -o smtpd_client_restrictions=$mua_client_restrictions
# -o smtpd_helo_restrictions=$mua_helo_restrictions
# -o smtpd_sender_restrictions=$mua_sender_restrictions
# -o smtpd_recipient_restrictions=
# -o smtpd_relay_restrictions=permit_sasl_authenticated,reject
# -o milter_macro_daemon_name=ORIGINATING
#628 inet n - y - - qmqpd
pickup unix n - y 60 1 pickup
cleanup unix n - y - 0 cleanup
qmgr unix n - n 300 1 qmgr
#qmgr unix n - n 300 1 oqmgr
tlsmgr unix - - y 1000? 1 tlsmgr
rewrite unix - - y - - trivial-rewrite
bounce unix - - y - 0 bounce
defer unix - - y - 0 bounce
trace unix - - y - 0 bounce
verify unix - - y - 1 verify
flush unix n - y 1000? 0 flush
proxymap unix - - n - - proxymap
proxywrite unix - - n - 1 proxymap
smtp unix - - y - - smtp
relay unix - - y - - smtp
# -o smtp_helo_timeout=5 -o smtp_connect_timeout=5
showq unix n - y - - showq
error unix - - y - - error
retry unix - - y - - error
discard unix - - y - - discard
local unix - n n - - local
virtual unix - n n - - virtual
lmtp unix - - y - - lmtp
anvil unix - - y - 1 anvil
scache unix - - y - 1 scache
#
# ====================================================================
# Interfaces to non-Postfix software. Be sure to examine the manual
# pages of the non-Postfix software to find out what options it wants.
#
# Many of the following services use the Postfix pipe(8) delivery
# agent. See the pipe(8) man page for information about ${recipient}
# and other message envelope options.
# ====================================================================
#
# maildrop. See the Postfix MAILDROP_README file for details.
# Also specify in main.cf: maildrop_destination_recipient_limit=1
#
maildrop unix - n n - - pipe
flags=DRhu user=vmail argv=/usr/bin/maildrop -d ${recipient}
#
# ====================================================================
#
# Recent Cyrus versions can use the existing "lmtp" master.cf entry.
#
# Specify in cyrus.conf:
# lmtp cmd="lmtpd -a" listen="localhost:lmtp" proto=tcp4
#
# Specify in main.cf one or more of the following:
# mailbox_transport = lmtp:inet:localhost
# virtual_transport = lmtp:inet:localhost
#
# ====================================================================
#
# Cyrus 2.1.5 (Amos Gouaux)
# Also specify in main.cf: cyrus_destination_recipient_limit=1
#
#cyrus unix - n n - - pipe
# user=cyrus argv=/cyrus/bin/deliver -e -r ${sender} -m ${extension} ${user}
#
# ====================================================================
# Old example of delivery via Cyrus.
#
#old-cyrus unix - n n - - pipe
# flags=R user=cyrus argv=/cyrus/bin/deliver -e -m ${extension} ${user}
#
# ====================================================================
#
# See the Postfix UUCP_README file for configuration details.
#
uucp unix - n n - - pipe
flags=Fqhu user=uucp argv=uux -r -n -z -a$sender - $nexthop!rmail ($recipient)
#
# Other external delivery methods.
#
ifmail unix - n n - - pipe
flags=F user=ftn argv=/usr/lib/ifmail/ifmail -r $nexthop ($recipient)
bsmtp unix - n n - - pipe
flags=Fq. user=bsmtp argv=/usr/lib/bsmtp/bsmtp -t$nexthop -f$sender $recipient
scalemail-backend unix - n n - 2 pipe
flags=R user=scalemail argv=/usr/lib/scalemail/bin/scalemail-store ${nexthop} ${user} ${extension}
dovecot unix - n n - - pipe
flags=DRhu user=vmail:vmail argv=/usr/lib/dovecot/deliver -f ${sender} -d ${recipient}
spamassassin unix - n n - - pipe
user=debian-spamd argv=/usr/bin/spamc -f -e /usr/sbin/sendmail -oi -f ${sender} ${recipient}
Советы, которые я нашел по проблеме «DKIM подписывает дважды», объясняют, почему это происходит, но разрешение применяется к конфигурациям, которые отличаются от моей (например, на Документация Ubuntu). Предлагают добавить no_milters к -o receive_override_options= линия. Но у меня нет этой строчки. Я не использую amavis. И я не могу понять, что делать дальше, так как master.cf для меня непонятен.
Вопросы:
smtpd_milters из main.cf и добавив -o smtpd_milters=... на месте receive_override_options=no_milters но это кажется необычным, поэтому я бы сказал, что это не имеет значения.)Спасибо за исследование, у меня была точно такая же проблема.
Я думаю, что строки в main.cf должны читать:
smtpd_milters = inet:127.0.0.1:8891 inet:127.0.0.1:8893
non_smtpd_milters =
Хотя похоже, что ваш dmarc работает на 8892 из вашего сообщения - я использую Centos 7.5 / RHEL 7.5.
Не вижу необходимости запускать DKIM после спамассасина. Я думаю, что нужно запустить DKIM перед spamassasin для всех входящих SMTPD, чтобы он мог читать результаты и использовать их для классификации спама. Мой dmarc все равно игнорирует 127.0.0.1.
Это заставляет DKIM добавлять мою локальную подпись во входящую почту от fetchmail (внешние почтовые ящики), которая, очевидно, затем проходит (а dmarc игнорирует), но я бы предпочел, чтобы spamassassin проверял все остальное и не видел способа указать параметры SMTPD специально для исходящих с 127.0.0.1
non_smtpd_milters, вероятно, по умолчанию пуст - я оставил его для пояснения самому себе.
milter_protocol = 2 не нужен, если ваш Postfix больше 2.6.
Думаю, мне удалось найти подходящую конфигурацию.
Сохраняя файл master.cf выше, вот содержимое main.cf:
# DKIM
non_smtpd_milters = inet:localhost:8891
# DMARC
smtpd_milters = inet:localhost:8892
В этой конфигурации исходящие сообщения подписываются DKIM, независимо от того, приходят ли они из моего почтового клиента или веб-почты, установленной на сервере.
И DMARC проверяется на входящих сообщениях.
Фильтры только для SMTP обрабатывают почту, поступающую через сервер Postfix smtpd (8). Обычно они используются для фильтрации нежелательной почты и для подписи почты от авторизованных клиентов SMTP. [...] Почта, поступающая через сервер Postfix smtpd (8), не фильтруется не-SMTP фильтрами, которые описаны ниже.
Фильтры, не относящиеся к SMTP, обрабатывают почту, которая приходит через командную строку Postfix sendmail (1) или через сервер Postfix qmqpd (8). Обычно они используются только для цифровой подписи почты. [...]
IIUC, если бы я не использовал spamassassin, я бы установил opendkim как smtpd milter. Но поскольку spamassassin отправляет сообщение обратно с помощью sendmail, оно проходит через opendkim как не smtpd milter, поэтому решение состоит в том, чтобы установить opendkim только как фильтр smtpd.
Я нашел это методом проб и ошибок. Я надеюсь, что это может помочь кому-то с подобной проблемой, но меня все еще интересует обоснованное объяснение.
Кстати, вот ссылки на онлайн-тестеры, которые я использовал для проверки подписей DKIM: