Я установил на своем почтовом сервере dkim-filter. Я установил postfix для использования dkim-filter в качестве milter; Однако в моих журналах появляется следующее:
Jul 7 13:00:29 magni postfix/smtpd[6742]: connect from mail-vw0-f53.google.com[209.85.212.53]
Jul 7 13:00:29 magni postfix/smtpd[6742]: D0F802BC74: client=mail-vw0-f53.google.com[209.85.212.53]
Jul 7 13:00:29 magni postfix/cleanup[6756]: D0F802BC74: message-id=<....-....mail.gmail.com>
Jul 7 13:00:34 magni dkim-filter[7039]: D0F802BC74: key retrieval failed
Почему я получаю это и как я могу этого избежать?
По моему опыту, это также происходит, если письмо отправляется с подписью DKIM, но DNS недоступен или не сообщает соответствующий ключ DKIM. Чтобы решить эту проблему, я добавил в конец /etc/dkim-filter.conf строку:
On-DNSError принять
Затем:
перезапуск службы dkim-filter
Среда: Debian Squeeze, postfix, dovecot
Проект dkim-filter заброшен уже более двух лет. Пожалуйста, используйте обновленные и актуальные opendkim пакет, обеспечивающий эту функциональность. Тот же автор, что написал dkim-filter, разветвил его, и он стал проектом opendkim, за исключением того, что теперь он имеет 2 года исправлений и улучшений. Одним из таких улучшений была библиотека ar (асинхронный преобразователь, то есть поиск по DNS), в которой были исправлены несколько из этих странных типов ошибок «невозможно получить запись».
Скорее всего, в вашем дистрибутиве доступны текущие пакеты opendkim. Также есть очень хорошее руководство для Опендким и Постфикс интеграция.
Поскольку это входящее соединение, это означает, что вы неправильно сконфигурировали свой фильтр dkim, он пытается подписать вместо проверки сообщение и не может получить ключи.
Некоторое дополнение к ответам Тодда Лайонса и Марко Элекры: OpenDKIM можно скомпилировать для выполнения собственного разрешения DNS (более того, с проверкой DNSSEC, как в Debian 9). Таким образом, любой брандмауэр, блокирующий исходящий DNS-трафик с вашего почтового сервера (должен быть разрешен порт 53 как для TCP, так и для UDP), будет препятствовать функции получения ключей.
Специально не задокументировано, но ищите "распознаватель" на: