DKIM Signatur

Previous Topic Next Topic
 
classic Classic list List threaded Threaded
10 messages Options
Reply | Threaded
Open this post in threaded view
|

DKIM Signatur

Wolfgang Rosenauer
Hallo,

nicht direkt Postfix spezifisch aber vielleicht hat jemand einen Tipp
oder einen Link.

Ich frage mich gerade, ob es "schädlich" ist, eine DKIM Signatur in eine
ausgehende Mail zu packen, ohne dass es einen entsprechenden DNS Eintrag
gibt?

Hintergrund: ein Mailserver für viele Domains aber ohne direkte
Kontrolle über die DNS Zone und damit könnte es passieren, dass Benutzer
den Eintrag im DNS überhaupt nicht vornehmen.

Eine zweite Variante:
Falls obiges blöd ist, könnte ich eine generische Signatur mit
entsprechendem DNS Key generieren, deren Domain (d=) aber nicht dem
Absender entspricht? Wie schädlich wäre das in der Praxis? DMARC hätte
damit wohl mindestens ein Problem?



Danke,
 Wolfgang
Reply | Threaded
Open this post in threaded view
|

Re: DKIM Signatur

Walter H.
On 01.07.2020 14:45, Wolfgang Rosenauer wrote:
> nicht direkt Postfix spezifisch aber vielleicht hat jemand einen Tipp
> oder einen Link.
>
> Ich frage mich gerade, ob es "schädlich" ist, eine DKIM Signatur in eine
> ausgehende Mail zu packen, ohne dass es einen entsprechenden DNS Eintrag
> gibt?

das sollte man tunlichst nicht tun;

eine DKIM-Signatur ohne entsprechende DNS-Einträge ist das Pendant eines
SSL-Zertifikates ohne dazupassenden Root-Token im Browser ...

im Fall von SSL würde Dir der Browser zwar erlauben dies zu umgehen,
aber das tut man nur, wenn man weiß was man tut;  im Fall von DKIM,
würde ich derartiges nicht mal in eine Queue stellen oder irgendwie
kennzeichnen, sondern gnadenlos rejecten;

Walter



smime.p7s (4K) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: DKIM Signatur

Wolfgang Rosenauer
Hi,

> Walter H. <[hidden email]> hat am 01.07.2020 16:51 geschrieben:
>
>  
> On 01.07.2020 14:45, Wolfgang Rosenauer wrote:
> > nicht direkt Postfix spezifisch aber vielleicht hat jemand einen Tipp
> > oder einen Link.
> >
> > Ich frage mich gerade, ob es "schädlich" ist, eine DKIM Signatur in eine
> > ausgehende Mail zu packen, ohne dass es einen entsprechenden DNS Eintrag
> > gibt?
>
> das sollte man tunlichst nicht tun;
>
> eine DKIM-Signatur ohne entsprechende DNS-Einträge ist das Pendant eines
> SSL-Zertifikates ohne dazupassenden Root-Token im Browser ...
>
> im Fall von SSL würde Dir der Browser zwar erlauben dies zu umgehen,
> aber das tut man nur, wenn man weiß was man tut;  im Fall von DKIM,
> würde ich derartiges nicht mal in eine Queue stellen oder irgendwie
> kennzeichnen, sondern gnadenlos rejecten;

Genau deswegen die Frage. Ich habe in keinem RFC etwas gefunden, wie in dem Fall reagiert werden sollte.
Allerdings habe ich bei GMail beobachtet, dass sie in dem Fall offenbar DKIM: neutral (no-key) bewerten.

Und auch folgende GSuite Hilfeseite hat mich auf die Idee gebracht:
https://support.google.com/a/answer/174124?hl=de
und dort der Absatz:
"Wenn Sie keinen eigenen DKIM-Domainschlüssel generieren, werden alle ausgehenden Nachrichten in Gmail mit diesem DKIM-Standardschlüssel signiert: d=*.gappssmtp.com"

D.h. Du würdest das direkt rejecten?


Wolfgang
Reply | Threaded
Open this post in threaded view
|

Re: DKIM Signatur

Wolfgang Rosenauer
Korrektur

> Wolfgang Rosenauer <[hidden email]> hat am 01.07.2020 17:41 geschrieben:
>
>  
> Hi,
>
> > Walter H. <[hidden email]> hat am 01.07.2020 16:51 geschrieben:
> >
> >  
> > On 01.07.2020 14:45, Wolfgang Rosenauer wrote:
> > > nicht direkt Postfix spezifisch aber vielleicht hat jemand einen Tipp
> > > oder einen Link.
> > >
> > > Ich frage mich gerade, ob es "schädlich" ist, eine DKIM Signatur in eine
> > > ausgehende Mail zu packen, ohne dass es einen entsprechenden DNS Eintrag
> > > gibt?
> >
> > das sollte man tunlichst nicht tun;
> >
> > eine DKIM-Signatur ohne entsprechende DNS-Einträge ist das Pendant eines
> > SSL-Zertifikates ohne dazupassenden Root-Token im Browser ...
> >
> > im Fall von SSL würde Dir der Browser zwar erlauben dies zu umgehen,
> > aber das tut man nur, wenn man weiß was man tut;  im Fall von DKIM,
> > würde ich derartiges nicht mal in eine Queue stellen oder irgendwie
> > kennzeichnen, sondern gnadenlos rejecten;
>
> Genau deswegen die Frage. Ich habe in keinem RFC etwas gefunden, wie in dem Fall reagiert werden sollte.
> Allerdings habe ich bei GMail beobachtet, dass sie in dem Fall offenbar DKIM: neutral (no-key) bewerten.
>
> Und auch folgende GSuite Hilfeseite hat mich auf die Idee gebracht:
> https://support.google.com/a/answer/174124?hl=de
> und dort der Absatz:
> "Wenn Sie keinen eigenen DKIM-Domainschlüssel generieren, werden alle ausgehenden Nachrichten in Gmail mit diesem DKIM-Standardschlüssel signiert: d=*.gappssmtp.com"
>
> D.h. Du würdest das direkt rejecten?

Der Fall aus der Google Seite ist natürlich der, bei dem From Domain und DKIM Domain nicht zueinanderpassen. Die Sektion hattest du gar nicht kommentiert.


Wolfgang

> Wolfgang
Reply | Threaded
Open this post in threaded view
|

Re: DKIM Signatur

Walter H.
In reply to this post by Wolfgang Rosenauer
On 01.07.2020 17:41, Wolfgang Rosenauer wrote:

> "Wenn Sie keinen eigenen DKIM-Domainschlüssel generieren, werden alle ausgehenden Nachrichten in Gmail mit diesem DKIM-Standardschlüssel signiert: d=*.gappssmtp.com"

das ist aber was anderes als wovon Du sprichst ...

Du sprichst davon eine DKIM-Signatur in den Mail-Header zu klatschen
ohne den entsprechenden DNS-Part zur Verifikation irgendwo zu
hinterlegen ...



smime.p7s (4K) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: DKIM Signatur

Walter H.
In reply to this post by Wolfgang Rosenauer
On 01.07.2020 17:53, Wolfgang Rosenauer wrote:
> Der Fall aus der Google Seite ist natürlich der, bei dem From Domain
> und DKIM Domain nicht zueinanderpassen. Die Sektion hattest du gar
> nicht kommentiert.

derartiges würde ich aus einem anderen Grund vermeiden;

derartiges kommt eher dem Vergleich der realen Welt nahe: der Brief hat
zwar eine Briefmarke der Dt. Post aber einen Absender von außerhalb Dtl.
- wie vertrauenswürdig ist das?
(f. derartiges mag es sogar gute Gründe geben ..., aber nicht generell)

Walter



smime.p7s (4K) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: DKIM Signatur

Carsten Rosenberg
In reply to this post by Wolfgang Rosenauer
Hallo Wolfgang,

einige Server lehnen DKIM Mails ohne verfügbaren Key tatsächlich ab.
Der eigenen Reputation wird das wohl auch eher nicht zuträglich sein,
aber in den meisten Fällen geht die Mail trotzdem durch.

Eine Signatur einer anderen Domain fließt meist einfach nicht in die
Bewertung ein.

--

Für deinen Rspamd gibt es eine sehr bequeme Funktion, dass vor dem
Signieren der Pub-Key im DNS gesucht wird und mit dem lokalen
Private-Key verglichen wird. Kein/falscher DNS Eintrag -> keine Signatur.

# If `true` get pubkey from DNS record and check if it matches private key
check_pubkey = true;

# Set to `false` if you want to skip signing if public and private keys
mismatch
allow_pubkey_mismatch = false;

Das macht sich sehr praktisch, wenn man viele Domains hat und nur die
signiert werden sollen, die den pub.key im DNS hinterlegt haben.

Viele Grüße

Carsten



On 01.07.20 14:45, Wolfgang Rosenauer wrote:

> Hallo,
>
> nicht direkt Postfix spezifisch aber vielleicht hat jemand einen Tipp
> oder einen Link.
>
> Ich frage mich gerade, ob es "schädlich" ist, eine DKIM Signatur in eine
> ausgehende Mail zu packen, ohne dass es einen entsprechenden DNS Eintrag
> gibt?
>
> Hintergrund: ein Mailserver für viele Domains aber ohne direkte
> Kontrolle über die DNS Zone und damit könnte es passieren, dass Benutzer
> den Eintrag im DNS überhaupt nicht vornehmen.
>
> Eine zweite Variante:
> Falls obiges blöd ist, könnte ich eine generische Signatur mit
> entsprechendem DNS Key generieren, deren Domain (d=) aber nicht dem
> Absender entspricht? Wie schädlich wäre das in der Praxis? DMARC hätte
> damit wohl mindestens ein Problem?
>
>
>
> Danke,
>  Wolfgang
>
Reply | Threaded
Open this post in threaded view
|

Re: DKIM Signatur

Wolfgang Rosenauer
Hi Carsten,

> Carsten Rosenberg <[hidden email]> hat am 01.07.2020 19:59 geschrieben:
>
> einige Server lehnen DKIM Mails ohne verfügbaren Key tatsächlich ab.
> Der eigenen Reputation wird das wohl auch eher nicht zuträglich sein,
> aber in den meisten Fällen geht die Mail trotzdem durch.
>
> Eine Signatur einer anderen Domain fließt meist einfach nicht in die
> Bewertung ein.
>
> --
>
> Für deinen Rspamd gibt es eine sehr bequeme Funktion, dass vor dem
> Signieren der Pub-Key im DNS gesucht wird und mit dem lokalen
> Private-Key verglichen wird. Kein/falscher DNS Eintrag -> keine Signatur.

das habe ich tatsächlich auch so im Einsatz.
Die aktuelle Frage habe ich allerdings für ein anderes System, welches auf opendkim setzt und dort gibt es die Funktion, soweit ich bisher gesehen habe, leider nicht.


Wolfgang
Reply | Threaded
Open this post in threaded view
|

proxymap: permission denied

Lothar Schilling
In reply to this post by Wolfgang Rosenauer
Guten Morgen,

seit einiger Zeit wirft einer unserer beiden Mailserver haufenweise
Fehlermeldungen wie diese aus:

Jul  3 08:34:48 3 postfix/smtpd[16878]: warning: connect #9 to subsystem
/var/spool/postfix/private/proxymap: Permission denied
Jul  3 08:34:58 3 postfix/smtpd[16878]: warning: connect #10 to
subsystem /var/spool/postfix/private/proxymap: Permission denied
Jul  3 08:35:08 3 postfix/smtpd[16878]: fatal: connect #11 to subsystem
/var/spool/postfix/private/proxymap: Permission denied

postconf -n:
relay_domains = proxy:mysql:/etc/postfix/mysql-relay_domains_maps.cf
virtual_alias_maps =
proxy:mysql:/etc/postfix/mysql-virtual_alias_maps.cf,
regexp:/etc/postfix/virtual_regexp
virtual_mailbox_domains =
proxy:mysql:/etc/postfix/mysql-virtual_domains_maps.cf
virtual_mailbox_maps =
proxy:mysql:/etc/postfix/mysql-virtual_mailbox_maps.cf

Version: 2.10.3
OS: CentOS Linux 7.8.2003

Scheint keine echten Verwerfungen zu produzieren, aber ist trotzdem
irritierend. Für eine Erklärung wäre ich dankbar.

Viele Grüße

Lothar Schilling

Am 01.07.2020 um 14:45 schrieb Wolfgang Rosenauer:

> Hallo,
>
> nicht direkt Postfix spezifisch aber vielleicht hat jemand einen Tipp
> oder einen Link.
>
> Ich frage mich gerade, ob es "schädlich" ist, eine DKIM Signatur in eine
> ausgehende Mail zu packen, ohne dass es einen entsprechenden DNS Eintrag
> gibt?
>
> Hintergrund: ein Mailserver für viele Domains aber ohne direkte
> Kontrolle über die DNS Zone und damit könnte es passieren, dass Benutzer
> den Eintrag im DNS überhaupt nicht vornehmen.
>
> Eine zweite Variante:
> Falls obiges blöd ist, könnte ich eine generische Signatur mit
> entsprechendem DNS Key generieren, deren Domain (d=) aber nicht dem
> Absender entspricht? Wie schädlich wäre das in der Praxis? DMARC hätte
> damit wohl mindestens ein Problem?
>
>
>
> Danke,
>  Wolfgang

Reply | Threaded
Open this post in threaded view
|

Re: proxymap: permission denied

Christian Boltz-2
Hallo Lothar, hallo zusammen,

Am Freitag, 3. Juli 2020, 08:43:29 CEST schrieb Lothar Schilling:
> seit einiger Zeit wirft einer unserer beiden Mailserver haufenweise
> Fehlermeldungen wie diese aus:
>
> Jul  3 08:34:48 3 postfix/smtpd[16878]: warning: connect #9 to
> subsystem /var/spool/postfix/private/proxymap: Permission denied

> OS: CentOS Linux 7.8.2003
>
> Scheint keine echten Verwerfungen zu produzieren, aber ist trotzdem
> irritierend. Für eine Erklärung wäre ich dankbar.

Da sich bisher niemand getraut hat zu antworten, versuche ich mal zwei
Schüsse ins Blaue:
- Dateiberechtigungen und -owner passen?
- irgendwelche Logeinträge von SELinux?


Gruß

Christian Boltz
--
What you need is a list of all unknown bugs.  ;-)
[James Knott in opensuse-factory]