Probleme mit dem signieren ausgehender mails mit Open-DKIM

Previous Topic Next Topic
 
classic Classic list List threaded Threaded
15 messages Options
Reply | Threaded
Open this post in threaded view
|

Probleme mit dem signieren ausgehender mails mit Open-DKIM

Carsten Laun-De Lellis

Hallo, alle zusammen

 

Ich habe folgendes Problem:

 

Ich nehme emails von einem Exchange Server über port 25 als mailgateway entgegen für die Domänen example1.com und example2.com, welche ich gerne mit dem passenden dkim key signieren möchte:

 

Ich habe gemäß der Anleitung https://www.digitalocean.com/community/tutorials/how-to-install-and-configure-dkim-with-postfix-on-debian-wheezy opendkim für mehrere Domänen konfiguriert:

 

/etc/opendkim.conf

 

Syslog                                      yes

SyslogSuccess             yes

LogWhy                        yes

UMask                         002

AutoRestart             Yes

AutoRestartRate         10/1h

Canonicalization        relaxed/simple

 

ExternalIgnoreList      refile:/etc/dkimkeys/TrustedHosts

InternalHosts           refile:/etc/dkimkeys/TrustedHosts

KeyTable                refile:/etc/dkimkeys/KeyTable

SigningTable            refile:/etc/dkimkeys/SigningTable

 

Mode                    sv

PidFile                 /var/run/opendkim/opendkim.pid

SignatureAlgorithm      rsa-sha256

 

UserID                  opendkim:opendkim

SOCKET                  inet:8891@localhost

 

 

/etc/dkimkeys/TrustedHosts

 

127.0.0.1

localhost

ip.exchange.server

ip.postfix.server

 

*.example1.com

*.example2.com

 

 

/etc/dkimkeys/SigningTable

 

*@example1.com                   mail._domainkey.example1.com

[hidden email]                   mail._domainkey.example2.com

 

/etc/dkimkeys/KeyTable

 

mail._domainkey.example1.com                     example1.com:mail:/etc/dkimkeys/keys/ example1.com / example1.com.private

mail._domainkey.example2.com                     example2.com:mail:/etc/dkimkeys/keys/ example2.com / example2.com.private

 

Die Keys sollten soweit eigentlich o.k. sein, da ich bei einem dkim check mit online tools ein ok bekomme. Dies deutet darauf hin, dass der Eintrag im DNS und der Schlüssel soweit passen.

 

In Postfix habe ich den milter über den folgenden Eintrag in die /etc/postfix/main.cf eingebunden.

 

milter_default_action = accept

milter_protocol = 6

smtpd_milters=inet:localhost:8891

non_smtpd_milters=inet:localhost:8891

 

 

Ein lsof –i :8891 liefert folgenden output:

 

COMMAND   PID     USER   FD   TYPE DEVICE SIZE/OFF NODE NAME

opendkim 6961 opendkim    4u  IPv4  69527      0t0  TCP localhost:8891 (LISTEN)

 

Ich kann also davon ausgehen, dass open-dkim läuft auf dem port 8891.

 

Wenn ich nun ein grep -i dkim /var/log/mail.log ausführe dann bekomme ich einen output der mir anzeigt, dass eingehende emails von amavis auf dkim keys überprüft werden.

 

Bsp.:

Mar 22 15:18:08 RV1008 amavis[5481]: (05481-09) Passed CLEAN {RelayedOutbound}, ORIGINATING LOCAL [144.76.82.147]:50211 [2607:f8b0:400d:c04::230] <[hidden email]> -> <[hidden email]>, Message-ID: <[hidden email]>, mail_id: 8mBNSew2gnNq, Hits: 0.242, size: 11501, queued_as: 0184C780094, dkim_sd=2954282:lists.samba.org, 6505 ms

 

Für ausgehende emails finde ich keinerlei Einträge im maillog die auf irgendwelche Aktivitäten hindeuten, dass open-dkim versucht die emails zu signieren.

 

Was mache ich da falsch?

 

Ach ja, ich setze Ubuntu 15.10 ein mit postfix 3.0.4.

 

Für Hinweise wäre ich wirklich dankbar.

 

Mit freundlichem Gruß

 

Carsten Laun-De Lellis

 

Hauptstrasse 13

D - 67705 Trippstadt

 

Phone: +49 6306 992140

Mobile: +49 151 275 30865

Fax:     +49 6306 992142

email: [hidden email]

 

http://www.linkedin.com/in/carstenlaundelellis

 

---------------------------------------------------

Diese E-Mail könnte vertrauliche und/oder rechtlich geschützte Informationen enthalten. Wenn Sie nicht der richtige Adressat sind oder diese E-Mail irrtümlich erhalten haben, informieren Sie bitte sofort den Absender und vernichten Sie diese Mail. Das unerlaubte Kopieren sowie die unbefugte Weitergabe dieser Mail ist nicht gestattet.

This e-mail may contain confidential and/or privileged information. If you are not the intended recipient (or have received this e-mail in error) please notify the sender immediately and destroy this e-mail. Any unauthorised copying, disclosure or distribution of the material in this e-mail is strictly forbidden.

 

Reply | Threaded
Open this post in threaded view
|

AW: Probleme mit dem signieren ausgehender mails mit Open-DKIM

Hendl Stephan

Hallo Carsten,

 

das löst vielleicht dein Postfix-open-dkim-Problem nicht, aber warum lässt Du Amavis nicht die ausgehenden Mails signieren? Da Du Amavis ja eh benutzt wäre das doch einfacher ;-) Hier der Auszug aus unserer /etc/amavis/conf.s/50-user:

 

$enable_dkim_verification = 1;  # enable DKIM signatures verification

$enable_dkim_signing = 1;       # load DKIM signing code,

dkim_key('meine.domain.de', 'main', '/var/lib/amavis/dkim/meine.domain.de.dkim.pem');

 

Ausführlich beschrieben ist das u. a. hier: https://sys4.de/de/blog/2013/09/02/amavisd-new-dkim-howto/

 

Viele Grüße

i. A. Stephan Hendl

 

--
Dr. Stephan Hendl
Landtag Brandenburg
Verwaltung
Referat V2
Alter Markt 1
14467 Potsdam
Tel.: (0331) 966 1292
Fax.: (0331) 966 99 1292
[hidden email]

 

Von: Postfixbuch-users [mailto:[hidden email]] Im Auftrag von Carsten Laun-De Lellis
Gesendet: Dienstag, 22. März 2016 15:40
An: [hidden email]
Betreff: Probleme mit dem signieren ausgehender mails mit Open-DKIM

 

Hallo, alle zusammen

 

Ich habe folgendes Problem:

 

Ich nehme emails von einem Exchange Server über port 25 als mailgateway entgegen für die Domänen example1.com und example2.com, welche ich gerne mit dem passenden dkim key signieren möchte:

 

Ich habe gemäß der Anleitung https://www.digitalocean.com/community/tutorials/how-to-install-and-configure-dkim-with-postfix-on-debian-wheezy opendkim für mehrere Domänen konfiguriert:

 

/etc/opendkim.conf

 

Syslog                                      yes

SyslogSuccess             yes

LogWhy                        yes

UMask                         002

AutoRestart             Yes

AutoRestartRate         10/1h

Canonicalization        relaxed/simple

 

ExternalIgnoreList      refile:/etc/dkimkeys/TrustedHosts

InternalHosts           refile:/etc/dkimkeys/TrustedHosts

KeyTable                refile:/etc/dkimkeys/KeyTable

SigningTable            refile:/etc/dkimkeys/SigningTable

 

Mode                    sv

PidFile                 /var/run/opendkim/opendkim.pid

SignatureAlgorithm      rsa-sha256

 

UserID                  opendkim:opendkim

SOCKET                  inet:8891@localhost

 

 

/etc/dkimkeys/TrustedHosts

 

127.0.0.1

localhost

ip.exchange.server

ip.postfix.server

 

*.example1.com

*.example2.com

 

 

/etc/dkimkeys/SigningTable

 

[hidden email]                   mail._domainkey.example1.com

[hidden email]                   mail._domainkey.example2.com

 

/etc/dkimkeys/KeyTable

 

mail._domainkey.example1.com                     example1.com:mail:/etc/dkimkeys/keys/ example1.com / example1.com.private

mail._domainkey.example2.com                     example2.com:mail:/etc/dkimkeys/keys/ example2.com / example2.com.private

 

Die Keys sollten soweit eigentlich o.k. sein, da ich bei einem dkim check mit online tools ein ok bekomme. Dies deutet darauf hin, dass der Eintrag im DNS und der Schlüssel soweit passen.

 

In Postfix habe ich den milter über den folgenden Eintrag in die /etc/postfix/main.cf eingebunden.

 

milter_default_action = accept

milter_protocol = 6

smtpd_milters=inet:localhost:8891

non_smtpd_milters=inet:localhost:8891

 

 

Ein lsof –i :8891 liefert folgenden output:

 

COMMAND   PID     USER   FD   TYPE DEVICE SIZE/OFF NODE NAME

opendkim 6961 opendkim    4u  IPv4  69527      0t0  TCP localhost:8891 (LISTEN)

 

Ich kann also davon ausgehen, dass open-dkim läuft auf dem port 8891.

 

Wenn ich nun ein grep -i dkim /var/log/mail.log ausführe dann bekomme ich einen output der mir anzeigt, dass eingehende emails von amavis auf dkim keys überprüft werden.

 

Bsp.:

Mar 22 15:18:08 RV1008 amavis[5481]: (05481-09) Passed CLEAN {RelayedOutbound}, ORIGINATING LOCAL [144.76.82.147]:50211 [2607:f8b0:400d:c04::230] <[hidden email]> -> <[hidden email]>, Message-ID: <[hidden email]>, mail_id: 8mBNSew2gnNq, Hits: 0.242, size: 11501, queued_as: 0184C780094, dkim_sd=2954282:lists.samba.org, 6505 ms

 

Für ausgehende emails finde ich keinerlei Einträge im maillog die auf irgendwelche Aktivitäten hindeuten, dass open-dkim versucht die emails zu signieren.

 

Was mache ich da falsch?

 

Ach ja, ich setze Ubuntu 15.10 ein mit postfix 3.0.4.

 

Für Hinweise wäre ich wirklich dankbar.

 

Mit freundlichem Gruß

 

Carsten Laun-De Lellis

 

Hauptstrasse 13

D - 67705 Trippstadt

 

Phone: +49 6306 992140

Mobile: +49 151 275 30865

Fax:     +49 6306 992142

email: [hidden email]

 

http://www.linkedin.com/in/carstenlaundelellis

 

---------------------------------------------------

Diese E-Mail könnte vertrauliche und/oder rechtlich geschützte Informationen enthalten. Wenn Sie nicht der richtige Adressat sind oder diese E-Mail irrtümlich erhalten haben, informieren Sie bitte sofort den Absender und vernichten Sie diese Mail. Das unerlaubte Kopieren sowie die unbefugte Weitergabe dieser Mail ist nicht gestattet.

This e-mail may contain confidential and/or privileged information. If you are not the intended recipient (or have received this e-mail in error) please notify the sender immediately and destroy this e-mail. Any unauthorised copying, disclosure or distribution of the material in this e-mail is strictly forbidden.

 

Reply | Threaded
Open this post in threaded view
|

Re: Probleme mit dem signieren ausgehender mails mit Open-DKIM

Alex JOST
In reply to this post by Carsten Laun-De Lellis
Am 22.03.2016 um 15:40 schrieb Carsten Laun-De Lellis:

> Hallo, alle zusammen
>
> Ich habe folgendes Problem:
>
> Ich nehme emails von einem Exchange Server über port 25 als mailgateway entgegen für die Domänen example1.com und example2.com, welche ich gerne mit dem passenden dkim key signieren möchte:
>
> Ich habe gemäß der Anleitung https://www.digitalocean.com/community/tutorials/how-to-install-and-configure-dkim-with-postfix-on-debian-wheezy opendkim für mehrere Domänen konfiguriert:
>
> /etc/opendkim.conf
>
> Syslog                                      yes
> SyslogSuccess             yes
> LogWhy                        yes
> UMask                         002
> AutoRestart             Yes
> AutoRestartRate         10/1h
> Canonicalization        relaxed/simple
>
> ExternalIgnoreList      refile:/etc/dkimkeys/TrustedHosts
> InternalHosts           refile:/etc/dkimkeys/TrustedHosts
> KeyTable                refile:/etc/dkimkeys/KeyTable
> SigningTable            refile:/etc/dkimkeys/SigningTable
>
> Mode                    sv
> PidFile                 /var/run/opendkim/opendkim.pid
> SignatureAlgorithm      rsa-sha256
>
> UserID                  opendkim:opendkim
> SOCKET                  inet:8891@localhost
>
>
> /etc/dkimkeys/TrustedHosts
>
> 127.0.0.1
> localhost
> ip.exchange.server
> ip.postfix.server
>
> *.example1.com
> *.example2.com
>
>
> /etc/dkimkeys/SigningTable
>
> *@example1.com                   mail._domainkey.example1.com
> *@example2.com<mailto:*@example2.com>                   mail._domainkey.example2.com
>
> /etc/dkimkeys/KeyTable
>
> mail._domainkey.example1.com                     example1.com:mail:/etc/dkimkeys/keys/ example1.com / example1.com.private
> mail._domainkey.example2.com                     example2.com:mail:/etc/dkimkeys/keys/ example2.com / example2.com.private
>
> Die Keys sollten soweit eigentlich o.k. sein, da ich bei einem dkim check mit online tools ein ok bekomme. Dies deutet darauf hin, dass der Eintrag im DNS und der Schlüssel soweit passen.
>
> In Postfix habe ich den milter über den folgenden Eintrag in die /etc/postfix/main.cf eingebunden.
>
> milter_default_action = accept
> milter_protocol = 6
> smtpd_milters=inet:localhost:8891
> non_smtpd_milters=inet:localhost:8891
>
>
> Ein lsof -i :8891 liefert folgenden output:
>
> COMMAND   PID     USER   FD   TYPE DEVICE SIZE/OFF NODE NAME
> opendkim 6961 opendkim    4u  IPv4  69527      0t0  TCP localhost:8891 (LISTEN)
>
> Ich kann also davon ausgehen, dass open-dkim läuft auf dem port 8891.
>
> Wenn ich nun ein grep -i dkim /var/log/mail.log ausführe dann bekomme ich einen output der mir anzeigt, dass eingehende emails von amavis auf dkim keys überprüft werden.
>
> Bsp.:
> Mar 22 15:18:08 RV1008 amavis[5481]: (05481-09) Passed CLEAN {RelayedOutbound}, ORIGINATING LOCAL [144.76.82.147]:50211 [2607:f8b0:400d:c04::230] <[hidden email]> -> <[hidden email]>, Message-ID: <[hidden email]>, mail_id: 8mBNSew2gnNq, Hits: 0.242, size: 11501, queued_as: 0184C780094, dkim_sd=2954282:lists.samba.org, 6505 ms
>
> Für ausgehende emails finde ich keinerlei Einträge im maillog die auf irgendwelche Aktivitäten hindeuten, dass open-dkim versucht die emails zu signieren.
>
> Was mache ich da falsch?
>
> Ach ja, ich setze Ubuntu 15.10 ein mit postfix 3.0.4.

Bin mir nicht sicher, aber unter Debian/Ubuntu musste man glaub ich noch
was in /etc/default/opendkim aktivieren. Kann leider gerade nicht
nachschauen.

Übrigens bin ich Stephans Meinung. Wenn Du auf dem System ohnehin
amavisd einsetzt, dann signiere doch damit. Funktioniert bei uns bestens.

--
Alex JOST
Reply | Threaded
Open this post in threaded view
|

Re: Probleme mit dem signieren ausgehender mails mit Open-DKIM

Klaus Tachtler
In reply to this post by Carsten Laun-De Lellis
Hallo Carsten,

schau mal hier, heute erst auf einem Server eingerichtet:
http://www.dokuwiki.tachtler.net/doku.php?id=tachtler:postfix_centos_7_-_opendkim_anbinden_opendkim-milter#konfigurationopendkim

> /etc/dkimkeys/SigningTable
>
> *@example1.com                   mail._domainkey.example1.com
> *@example2.com<mailto:*@example2.com>                    
> mail._domainkey.example2.com
>
> /etc/dkimkeys/KeyTable
>
> mail._domainkey.example1.com                      
> example1.com:mail:/etc/dkimkeys/keys/ example1.com /  
> example1.com.private
> mail._domainkey.example2.com                      
> example2.com:mail:/etc/dkimkeys/keys/ example2.com /  
> example2.com.private

Sollte das nicht so aussehen:

mail._domainkey.example1.com  
example1.com:mail:/etc/dkimkeys/keys/example1.com/mail.private
mail._domainkey.example2.com  
example2.com:mail:/etc/dkimkeys/keys/example2.com/mail.private


Grüße
Klaus.




--

------------------------------------------
e-Mail  : [hidden email]
Homepage: http://www.tachtler.net
DokuWiki: http://www.dokuwiki.tachtler.net
------------------------------------------

Reply | Threaded
Open this post in threaded view
|

RE: Probleme mit dem signieren ausgehender mails mit Open-DKIM

Carsten Laun-De Lellis
In reply to this post by Hendl Stephan

Hallo Stephan

 

Ist eine Idee, über die ich auch schon nachgedacht habe. Haken an der Sache ist aber, dass ich das ganze für mehr als eine Domain machen möchte und die Konfiguration dafür in open-dkim eigentlich recht einfach aussieht. In amavis müsste ich da wohl unterschiedliche policy-banks erstellen und am Ende des Tages wird dann amavis auch die eierlegende Wollmichsau, die dann auch schwer wieder aufzudröseln ist, wenn notwendig.

 

Mit der open-dkim Konfiguration müsste ich nur ein paar Zeilen in postfix auskommentieren.

 

Also, wenn mir hier jemand helfen könnte, würde ich mich freuen.

 

Mit freundlichem Gruß

 

Carsten Laun-De Lellis

 

Hauptstrasse 13

D - 67705 Trippstadt

 

Phone: +49 6306 992140

Mobile: +49 151 275 30865

Fax:     +49 6306 992142

email: [hidden email]

 

http://www.linkedin.com/in/carstenlaundelellis

 

---------------------------------------------------

Diese E-Mail könnte vertrauliche und/oder rechtlich geschützte Informationen enthalten. Wenn Sie nicht der richtige Adressat sind oder diese E-Mail irrtümlich erhalten haben, informieren Sie bitte sofort den Absender und vernichten Sie diese Mail. Das unerlaubte Kopieren sowie die unbefugte Weitergabe dieser Mail ist nicht gestattet.

This e-mail may contain confidential and/or privileged information. If you are not the intended recipient (or have received this e-mail in error) please notify the sender immediately and destroy this e-mail. Any unauthorised copying, disclosure or distribution of the material in this e-mail is strictly forbidden.

 

From: Postfixbuch-users [mailto:[hidden email]] On Behalf Of Hendl Stephan
Sent: Dienstag, 22. März 2016 16:33
To: Diskussionen und Support rund um Postfix <[hidden email]>
Subject: AW: Probleme mit dem signieren ausgehender mails mit Open-DKIM

 

Hallo Carsten,

 

das löst vielleicht dein Postfix-open-dkim-Problem nicht, aber warum lässt Du Amavis nicht die ausgehenden Mails signieren? Da Du Amavis ja eh benutzt wäre das doch einfacher ;-) Hier der Auszug aus unserer /etc/amavis/conf.s/50-user:

 

$enable_dkim_verification = 1;  # enable DKIM signatures verification

$enable_dkim_signing = 1;       # load DKIM signing code,

dkim_key('meine.domain.de', 'main', '/var/lib/amavis/dkim/meine.domain.de.dkim.pem');

 

Ausführlich beschrieben ist das u. a. hier: https://sys4.de/de/blog/2013/09/02/amavisd-new-dkim-howto/

 

Viele Grüße

i. A. Stephan Hendl

 

--
Dr. Stephan Hendl
Landtag Brandenburg
Verwaltung
Referat V2
Alter Markt 1
14467 Potsdam
Tel.: (0331) 966 1292
Fax.: (0331) 966 99 1292
[hidden email]

 

Von: Postfixbuch-users [[hidden email]] Im Auftrag von Carsten Laun-De Lellis
Gesendet: Dienstag, 22. März 2016 15:40
An: [hidden email]
Betreff: Probleme mit dem signieren ausgehender mails mit Open-DKIM

 

Hallo, alle zusammen

 

Ich habe folgendes Problem:

 

Ich nehme emails von einem Exchange Server über port 25 als mailgateway entgegen für die Domänen example1.com und example2.com, welche ich gerne mit dem passenden dkim key signieren möchte:

 

Ich habe gemäß der Anleitung https://www.digitalocean.com/community/tutorials/how-to-install-and-configure-dkim-with-postfix-on-debian-wheezy opendkim für mehrere Domänen konfiguriert:

 

/etc/opendkim.conf

 

Syslog                                      yes

SyslogSuccess             yes

LogWhy                        yes

UMask                         002

AutoRestart             Yes

AutoRestartRate         10/1h

Canonicalization        relaxed/simple

 

ExternalIgnoreList      refile:/etc/dkimkeys/TrustedHosts

InternalHosts           refile:/etc/dkimkeys/TrustedHosts

KeyTable                refile:/etc/dkimkeys/KeyTable

SigningTable            refile:/etc/dkimkeys/SigningTable

 

Mode                    sv

PidFile                 /var/run/opendkim/opendkim.pid

SignatureAlgorithm      rsa-sha256

 

UserID                  opendkim:opendkim

SOCKET                  inet:8891@localhost

 

 

/etc/dkimkeys/TrustedHosts

 

127.0.0.1

localhost

ip.exchange.server

ip.postfix.server

 

*.example1.com

*.example2.com

 

 

/etc/dkimkeys/SigningTable

 

[hidden email]                   mail._domainkey.example1.com

[hidden email]                   mail._domainkey.example2.com

 

/etc/dkimkeys/KeyTable

 

mail._domainkey.example1.com                     example1.com:mail:/etc/dkimkeys/keys/ example1.com / example1.com.private

mail._domainkey.example2.com                     example2.com:mail:/etc/dkimkeys/keys/ example2.com / example2.com.private

 

Die Keys sollten soweit eigentlich o.k. sein, da ich bei einem dkim check mit online tools ein ok bekomme. Dies deutet darauf hin, dass der Eintrag im DNS und der Schlüssel soweit passen.

 

In Postfix habe ich den milter über den folgenden Eintrag in die /etc/postfix/main.cf eingebunden.

 

milter_default_action = accept

milter_protocol = 6

smtpd_milters=inet:localhost:8891

non_smtpd_milters=inet:localhost:8891

 

 

Ein lsof –i :8891 liefert folgenden output:

 

COMMAND   PID     USER   FD   TYPE DEVICE SIZE/OFF NODE NAME

opendkim 6961 opendkim    4u  IPv4  69527      0t0  TCP localhost:8891 (LISTEN)

 

Ich kann also davon ausgehen, dass open-dkim läuft auf dem port 8891.

 

Wenn ich nun ein grep -i dkim /var/log/mail.log ausführe dann bekomme ich einen output der mir anzeigt, dass eingehende emails von amavis auf dkim keys überprüft werden.

 

Bsp.:

Mar 22 15:18:08 RV1008 amavis[5481]: (05481-09) Passed CLEAN {RelayedOutbound}, ORIGINATING LOCAL [144.76.82.147]:50211 [2607:f8b0:400d:c04::230] <[hidden email]> -> <[hidden email]>, Message-ID: <[hidden email]>, mail_id: 8mBNSew2gnNq, Hits: 0.242, size: 11501, queued_as: 0184C780094, dkim_sd=2954282:lists.samba.org, 6505 ms

 

Für ausgehende emails finde ich keinerlei Einträge im maillog die auf irgendwelche Aktivitäten hindeuten, dass open-dkim versucht die emails zu signieren.

 

Was mache ich da falsch?

 

Ach ja, ich setze Ubuntu 15.10 ein mit postfix 3.0.4.

 

Für Hinweise wäre ich wirklich dankbar.

 

Mit freundlichem Gruß

 

Carsten Laun-De Lellis

 

Hauptstrasse 13

D - 67705 Trippstadt

 

Phone: +49 6306 992140

Mobile: +49 151 275 30865

Fax:     +49 6306 992142

email: [hidden email]

 

http://www.linkedin.com/in/carstenlaundelellis

 

---------------------------------------------------

Diese E-Mail könnte vertrauliche und/oder rechtlich geschützte Informationen enthalten. Wenn Sie nicht der richtige Adressat sind oder diese E-Mail irrtümlich erhalten haben, informieren Sie bitte sofort den Absender und vernichten Sie diese Mail. Das unerlaubte Kopieren sowie die unbefugte Weitergabe dieser Mail ist nicht gestattet.

This e-mail may contain confidential and/or privileged information. If you are not the intended recipient (or have received this e-mail in error) please notify the sender immediately and destroy this e-mail. Any unauthorised copying, disclosure or distribution of the material in this e-mail is strictly forbidden.

 

Reply | Threaded
Open this post in threaded view
|

Re: Probleme mit dem signieren ausgehender mails mit Open-DKIM

Klaus Tachtler
In reply to this post by Alex JOST
Hallo Zusammen,

> Übrigens bin ich Stephans Meinung. Wenn Du auf dem System ohnehin  
> amavisd einsetzt, dann signiere doch damit. Funktioniert bei uns  
> bestens.

Nun wenn man sich mal https://tools.ietf.org/html/rfc6376#section-5.4 
ansieht ist beim anbringen einer DKIM-Signatur das Feld From -  
REQUIRED - dies ignoriert AMaViS dezent, hier ist es auch möglich OHNE  
 From Feld im Header eine DKIM-Signatur zu erreichen. Also "Do best  
thing right" (Zitat: Kollege Nausch aka Django)!

Grüße
Klaus.


--

------------------------------------------
e-Mail  : [hidden email]
Homepage: http://www.tachtler.net
DokuWiki: http://www.dokuwiki.tachtler.net
------------------------------------------

Reply | Threaded
Open this post in threaded view
|

RE: Probleme mit dem signieren ausgehender mails mit Open-DKIM

Carsten Laun-De Lellis
In reply to this post by Klaus Tachtler
Hallo Klaus

Habe Deine Anleitung durchgeschaut und bin der Meinung, dass ich eigentlich alles genauso konfiguriert habe.

Vielleicht muss ich da noch etwas ausholen.

Der Exchange Server ist für die Domänen example1.com und example2.com zuständig. Der Postfix fungiert "nur" als gateway. Was ich möchte ist, dass die emails, die vom Exchange Server kommen beim raussenden signiert werden.

Irgendwo zwischen der Annahme und dem raussenden muss ich während des mailflows postfix sagen: "Schicke die emails an opendkim". Da bin ich mir nicht ganz sicher, wo ich das in meiner Konfig tun muss. Den Eintrag in der main.cf habe ich vorgenommen, ich denke jedoch, dass ich auch die master.cf etwas anpassen muss. Die Emails von Exchange nehme ich ganz normal über port 25 an.

Es funktioniert auch alles soweit, bis auf das DKIM Thema.

Anbei noch meine master.cf:

smtp      inet  n       -       -       -       -       smtpd
 -o smtpd_proxy_filter=127.0.0.1:10024
pickup    unix  n       -       -       60      1       pickup
cleanup   unix  n       -       -       -       0       cleanup
qmgr      unix  n       -       n       300     1       qmgr
#qmgr     unix  n       -       n       300     1       oqmgr
tlsmgr    unix  -       -       -       1000?   1       tlsmgr
rewrite   unix  -       -       -       -       -       trivial-rewrite
bounce    unix  -       -       -       -       0       bounce
defer     unix  -       -       -       -       0       bounce
trace     unix  -       -       -       -       0       bounce
verify    unix  -       -       -       -       1       verify
flush     unix  n       -       -       1000?   0       flush
proxymap  unix  -       -       n       -       -       proxymap
proxywrite unix -       -       n       -       1       proxymap
smtp      unix  -       -       -       -       -       smtp
relay     unix  -       -       -       -       -       smtp
#       -o smtp_helo_timeout=5 -o smtp_connect_timeout=5
showq     unix  n       -       -       -       -       showq
error     unix  -       -       -       -       -       error
retry     unix  -       -       -       -       -       error
discard   unix  -       -       -       -       -       discard
local     unix  -       n       n       -       -       local
virtual   unix  -       n       n       -       -       virtual
lmtp      unix  -       -       -       -       -       lmtp
anvil     unix  -       -       -       -       1       anvil
scache    unix  -       -       -       -       1       scache
uucp      unix  -       n       n       -       -       pipe
  flags=Fqhu user=uucp argv=uux -r -n -z -a$sender - $nexthop!rmail ($recipient)
#
# Other external delivery methods.
#
ifmail    unix  -       n       n       -       -       pipe
  flags=F user=ftn argv=/usr/lib/ifmail/ifmail -r $nexthop ($recipient)
bsmtp     unix  -       n       n       -       -       pipe
  flags=Fq. user=bsmtp argv=/usr/lib/bsmtp/bsmtp -t$nexthop -f$sender $recipient
scalemail-backend unix  -       n       n       -       2       pipe
  flags=R user=scalemail argv=/usr/lib/scalemail/bin/scalemail-store ${nexthop} ${user} ${extension}
mailman   unix  -       n       n       -       -       pipe
  flags=FR user=list argv=/usr/lib/mailman/bin/postfix-to-mailman.py
  ${nexthop} ${user}

# amavis content filtering
smtp-amavis     unix    -       -       -       -       2       smtp
 -o smtp_data_done_timeout=1200
 -o smtp_send_xforward_command=yes
 -o disable_dns_lookups=yes
 -o disable_mime_output_conversion=yes

127.0.0.1:10025 inet n    -       n       -       -     smtpd
 -o content_filter=
 -o smtpd_proxy_filter=
 -o smtpd_delay_reject=no
 -o smtpd_helo_restrictions=
 -o smtpd_sender_restrictions=
 -o smtpd_client_restrictions=
 -o smtpd_recipient_restrictions=permit_mynetworks,reject
 -o smtpd_data_restrictions=reject_unauth_pipelining
 -o mynetworks=127.0.0.0/8
 -o receive_override_options=no_header_body_checks,no_unknown_recipient_checks,no_milters

policy-spf  unix  -       n       n       -       -       spawn
     user=nobody argv=/usr/bin/policyd-spf

Für einen guten Tipp wäre ich wirklich dankbar.




Mit freundlichem Gruß
 
Carsten Laun-De Lellis
 
Hauptstrasse 13
D - 67705 Trippstadt
 
Phone: +49 6306 992140
Mobile: +49 151 275 30865
Fax:     +49 6306 992142
email: [hidden email]
 
http://www.linkedin.com/in/carstenlaundelellis

---------------------------------------------------

Diese E-Mail könnte vertrauliche und/oder rechtlich geschützte Informationen enthalten. Wenn Sie nicht der richtige Adressat sind oder diese E-Mail irrtümlich erhalten haben, informieren Sie bitte sofort den Absender und vernichten Sie diese Mail. Das unerlaubte Kopieren sowie die unbefugte Weitergabe dieser Mail ist nicht gestattet.

This e-mail may contain confidential and/or privileged information. If you are not the intended recipient (or have received this e-mail in error) please notify the sender immediately and destroy this e-mail. Any unauthorised copying, disclosure or distribution of the material in this e-mail is strictly forbidden.


-----Original Message-----
From: Postfixbuch-users [mailto:[hidden email]] On Behalf Of Klaus Tachtler
Sent: Dienstag, 22. März 2016 16:54
To: Diskussionen und Support rund um Postfix <[hidden email]>
Subject: Re: Probleme mit dem signieren ausgehender mails mit Open-DKIM

Hallo Carsten,

schau mal hier, heute erst auf einem Server eingerichtet:
http://www.dokuwiki.tachtler.net/doku.php?id=tachtler:postfix_centos_7_-_opendkim_anbinden_opendkim-milter#konfigurationopendkim

> /etc/dkimkeys/SigningTable
>
> *@example1.com                   mail._domainkey.example1.com
> *@example2.com<mailto:*@example2.com>                    
> mail._domainkey.example2.com
>
> /etc/dkimkeys/KeyTable
>
> mail._domainkey.example1.com                      
> example1.com:mail:/etc/dkimkeys/keys/ example1.com /
> example1.com.private
> mail._domainkey.example2.com                      
> example2.com:mail:/etc/dkimkeys/keys/ example2.com /
> example2.com.private

Sollte das nicht so aussehen:

mail._domainkey.example1.com
example1.com:mail:/etc/dkimkeys/keys/example1.com/mail.private
mail._domainkey.example2.com
example2.com:mail:/etc/dkimkeys/keys/example2.com/mail.private


Grüße
Klaus.




--

------------------------------------------
e-Mail  : [hidden email]
Homepage: http://www.tachtler.net
DokuWiki: http://www.dokuwiki.tachtler.net
------------------------------------------

Reply | Threaded
Open this post in threaded view
|

Re: Probleme mit dem signieren ausgehender mails mit Open-DKIM

Infoomatic
In reply to this post by Carsten Laun-De Lellis
Hi,

Hast du in der master.cf vielleicht beim smtpd ein "-o smtpd_milters=" oder ein "-o receive_override_options=no_milters"?

LG,
Robert


On Tuesday, March 22, 2016 15:40 CET, Carsten Laun-De Lellis <[hidden email]> wrote:

> Hallo, alle zusammen
>
> Ich habe folgendes Problem:
>
> Ich nehme emails von einem Exchange Server über port 25 als mailgateway entgegen für die Domänen example1.com und example2.com, welche ich gerne mit dem passenden dkim key signieren möchte:
>
> Ich habe gemäß der Anleitung https://www.digitalocean.com/community/tutorials/how-to-install-and-configure-dkim-with-postfix-on-debian-wheezy opendkim für mehrere Domänen konfiguriert:
>
> /etc/opendkim.conf
>
> Syslog                                      yes
> SyslogSuccess             yes
> LogWhy                        yes
> UMask                         002
> AutoRestart             Yes
> AutoRestartRate         10/1h
> Canonicalization        relaxed/simple
>
> ExternalIgnoreList      refile:/etc/dkimkeys/TrustedHosts
> InternalHosts           refile:/etc/dkimkeys/TrustedHosts
> KeyTable                refile:/etc/dkimkeys/KeyTable
> SigningTable            refile:/etc/dkimkeys/SigningTable
>
> Mode                    sv
> PidFile                 /var/run/opendkim/opendkim.pid
> SignatureAlgorithm      rsa-sha256
>
> UserID                  opendkim:opendkim
> SOCKET                  inet:8891@localhost
>
>
> /etc/dkimkeys/TrustedHosts
>
> 127.0.0.1
> localhost
> ip.exchange.server
> ip.postfix.server
>
> *.example1.com
> *.example2.com
>
>
> /etc/dkimkeys/SigningTable
>
> *@example1.com                   mail._domainkey.example1.com
> *@example2.com<mailto:*@example2.com>                   mail._domainkey.example2.com
>
> /etc/dkimkeys/KeyTable
>
> mail._domainkey.example1.com                     example1.com:mail:/etc/dkimkeys/keys/ example1.com / example1.com.private
> mail._domainkey.example2.com                     example2.com:mail:/etc/dkimkeys/keys/ example2.com / example2.com.private
>
> Die Keys sollten soweit eigentlich o.k. sein, da ich bei einem dkim check mit online tools ein ok bekomme. Dies deutet darauf hin, dass der Eintrag im DNS und der Schlüssel soweit passen.
>
> In Postfix habe ich den milter über den folgenden Eintrag in die /etc/postfix/main.cf eingebunden.
>
> milter_default_action = accept
> milter_protocol = 6
> smtpd_milters=inet:localhost:8891
> non_smtpd_milters=inet:localhost:8891
>
>
> Ein lsof -i :8891 liefert folgenden output:
>
> COMMAND   PID     USER   FD   TYPE DEVICE SIZE/OFF NODE NAME
> opendkim 6961 opendkim    4u  IPv4  69527      0t0  TCP localhost:8891 (LISTEN)
>
> Ich kann also davon ausgehen, dass open-dkim läuft auf dem port 8891.
>
> Wenn ich nun ein grep -i dkim /var/log/mail.log ausführe dann bekomme ich einen output der mir anzeigt, dass eingehende emails von amavis auf dkim keys überprüft werden.
>
> Bsp.:
> Mar 22 15:18:08 RV1008 amavis[5481]: (05481-09) Passed CLEAN {RelayedOutbound}, ORIGINATING LOCAL [144.76.82.147]:50211 [2607:f8b0:400d:c04::230] <[hidden email]> -> <[hidden email]>, Message-ID: <[hidden email]>, mail_id: 8mBNSew2gnNq, Hits: 0.242, size: 11501, queued_as: 0184C780094, dkim_sd=2954282:lists.samba.org, 6505 ms
>
> Für ausgehende emails finde ich keinerlei Einträge im maillog die auf irgendwelche Aktivitäten hindeuten, dass open-dkim versucht die emails zu signieren.
>
> Was mache ich da falsch?
>
> Ach ja, ich setze Ubuntu 15.10 ein mit postfix 3.0.4.
>
> Für Hinweise wäre ich wirklich dankbar.
>
> Mit freundlichem Gruß
>
> Carsten Laun-De Lellis
>
> Hauptstrasse 13
> D - 67705 Trippstadt
>
> Phone: +49 6306 992140
> Mobile: +49 151 275 30865
> Fax:     +49 6306 992142
> email: [hidden email]<mailto:[hidden email]>
>
> http://www.linkedin.com/in/carstenlaundelellis
>
> ---------------------------------------------------
>
> Diese E-Mail könnte vertrauliche und/oder rechtlich geschützte Informationen enthalten. Wenn Sie nicht der richtige Adressat sind oder diese E-Mail irrtümlich erhalten haben, informieren Sie bitte sofort den Absender und vernichten Sie diese Mail. Das unerlaubte Kopieren sowie die unbefugte Weitergabe dieser Mail ist nicht gestattet.
>
> This e-mail may contain confidential and/or privileged information. If you are not the intended recipient (or have received this e-mail in error) please notify the sender immediately and destroy this e-mail. Any unauthorised copying, disclosure or distribution of the material in this e-mail is strictly forbidden.
>





Reply | Threaded
Open this post in threaded view
|

Re: Probleme mit dem signieren ausgehender mails mit Open-DKIM

Alex JOST
In reply to this post by Klaus Tachtler
Am 22.03.2016 um 17:01 schrieb Klaus Tachtler:

> Hallo Zusammen,
>
>> Übrigens bin ich Stephans Meinung. Wenn Du auf dem System ohnehin
>> amavisd einsetzt, dann signiere doch damit. Funktioniert bei uns bestens.
>
> Nun wenn man sich mal https://tools.ietf.org/html/rfc6376#section-5.4
> ansieht ist beim anbringen einer DKIM-Signatur das Feld From - REQUIRED
> - dies ignoriert AMaViS dezent, hier ist es auch möglich OHNE From Feld
> im Header eine DKIM-Signatur zu erreichen. Also "Do best thing right"
> (Zitat: Kollege Nausch aka Django)!

Welche Header signiert werden kannst Du in amavisd-new problemlos selbst
einstellen.

$signed_header_fields{'received'} = 0;  # turn off signing of Received
$signed_header_fields{'sender'} = 1;    # turn on signing of Sender
$signed_header_fields{'from'} = 2;      # sign From twice

--
Alex JOST
Reply | Threaded
Open this post in threaded view
|

RE: Probleme mit dem signieren ausgehender mails mit Open-DKIM

Carsten Laun-De Lellis
In reply to this post by Infoomatic
Hallo Robert

Wie Du in der mail von 18:18 sehen kannst habe ich das in dem einen smptd Dienst stehen, der die emails von amavis wieder annimmt. Habe ich aber auch schon gelöscht. Keine Änderung.

Deswegen ist es auch wieder drin.

Mit freundlichem Gruß
 
Carsten Laun-De Lellis
 
Hauptstrasse 13
D - 67705 Trippstadt
 
Phone: +49 6306 992140
Mobile: +49 151 275 30865
Fax:     +49 6306 992142
email: [hidden email]
 
http://www.linkedin.com/in/carstenlaundelellis

---------------------------------------------------

Diese E-Mail könnte vertrauliche und/oder rechtlich geschützte Informationen enthalten. Wenn Sie nicht der richtige Adressat sind oder diese E-Mail irrtümlich erhalten haben, informieren Sie bitte sofort den Absender und vernichten Sie diese Mail. Das unerlaubte Kopieren sowie die unbefugte Weitergabe dieser Mail ist nicht gestattet.

This e-mail may contain confidential and/or privileged information. If you are not the intended recipient (or have received this e-mail in error) please notify the sender immediately and destroy this e-mail. Any unauthorised copying, disclosure or distribution of the material in this e-mail is strictly forbidden.


-----Original Message-----
From: Postfixbuch-users [mailto:[hidden email]] On Behalf Of Infoo Matic
Sent: Dienstag, 22. März 2016 18:19
To: [hidden email]
Subject: Re: Probleme mit dem signieren ausgehender mails mit Open-DKIM

Hi,

Hast du in der master.cf vielleicht beim smtpd ein "-o smtpd_milters=" oder ein "-o receive_override_options=no_milters"?

LG,
Robert

 
On Tuesday, March 22, 2016 15:40 CET, Carsten Laun-De Lellis <[hidden email]> wrote:
 

> Hallo, alle zusammen
>
> Ich habe folgendes Problem:
>
> Ich nehme emails von einem Exchange Server über port 25 als mailgateway entgegen für die Domänen example1.com und example2.com, welche ich gerne mit dem passenden dkim key signieren möchte:
>
> Ich habe gemäß der Anleitung https://www.digitalocean.com/community/tutorials/how-to-install-and-configure-dkim-with-postfix-on-debian-wheezy opendkim für mehrere Domänen konfiguriert:
>
> /etc/opendkim.conf
>
> Syslog                                      yes
> SyslogSuccess             yes
> LogWhy                        yes
> UMask                         002
> AutoRestart             Yes
> AutoRestartRate         10/1h
> Canonicalization        relaxed/simple
>
> ExternalIgnoreList      refile:/etc/dkimkeys/TrustedHosts
> InternalHosts           refile:/etc/dkimkeys/TrustedHosts
> KeyTable                refile:/etc/dkimkeys/KeyTable
> SigningTable            refile:/etc/dkimkeys/SigningTable
>
> Mode                    sv
> PidFile                 /var/run/opendkim/opendkim.pid
> SignatureAlgorithm      rsa-sha256
>
> UserID                  opendkim:opendkim
> SOCKET                  inet:8891@localhost
>
>
> /etc/dkimkeys/TrustedHosts
>
> 127.0.0.1
> localhost
> ip.exchange.server
> ip.postfix.server
>
> *.example1.com
> *.example2.com
>
>
> /etc/dkimkeys/SigningTable
>
> *@example1.com                   mail._domainkey.example1.com
> *@example2.com<mailto:*@example2.com>                   mail._domainkey.example2.com
>
> /etc/dkimkeys/KeyTable
>
> mail._domainkey.example1.com                     example1.com:mail:/etc/dkimkeys/keys/ example1.com / example1.com.private
> mail._domainkey.example2.com                     example2.com:mail:/etc/dkimkeys/keys/ example2.com / example2.com.private
>
> Die Keys sollten soweit eigentlich o.k. sein, da ich bei einem dkim check mit online tools ein ok bekomme. Dies deutet darauf hin, dass der Eintrag im DNS und der Schlüssel soweit passen.
>
> In Postfix habe ich den milter über den folgenden Eintrag in die /etc/postfix/main.cf eingebunden.
>
> milter_default_action = accept
> milter_protocol = 6
> smtpd_milters=inet:localhost:8891
> non_smtpd_milters=inet:localhost:8891
>
>
> Ein lsof -i :8891 liefert folgenden output:
>
> COMMAND   PID     USER   FD   TYPE DEVICE SIZE/OFF NODE NAME
> opendkim 6961 opendkim    4u  IPv4  69527      0t0  TCP localhost:8891 (LISTEN)
>
> Ich kann also davon ausgehen, dass open-dkim läuft auf dem port 8891.
>
> Wenn ich nun ein grep -i dkim /var/log/mail.log ausführe dann bekomme ich einen output der mir anzeigt, dass eingehende emails von amavis auf dkim keys überprüft werden.
>
> Bsp.:
> Mar 22 15:18:08 RV1008 amavis[5481]: (05481-09) Passed CLEAN {RelayedOutbound}, ORIGINATING LOCAL [144.76.82.147]:50211 [2607:f8b0:400d:c04::230] <[hidden email]> -> <[hidden email]>, Message-ID: <[hidden email]>, mail_id: 8mBNSew2gnNq, Hits: 0.242, size: 11501, queued_as: 0184C780094, dkim_sd=2954282:lists.samba.org, 6505 ms
>
> Für ausgehende emails finde ich keinerlei Einträge im maillog die auf irgendwelche Aktivitäten hindeuten, dass open-dkim versucht die emails zu signieren.
>
> Was mache ich da falsch?
>
> Ach ja, ich setze Ubuntu 15.10 ein mit postfix 3.0.4.
>
> Für Hinweise wäre ich wirklich dankbar.
>
> Mit freundlichem Gruß
>
> Carsten Laun-De Lellis
>
> Hauptstrasse 13
> D - 67705 Trippstadt
>
> Phone: +49 6306 992140
> Mobile: +49 151 275 30865
> Fax:     +49 6306 992142
> email: [hidden email]<mailto:[hidden email]>
>
> http://www.linkedin.com/in/carstenlaundelellis
>
> ---------------------------------------------------
>
> Diese E-Mail könnte vertrauliche und/oder rechtlich geschützte Informationen enthalten. Wenn Sie nicht der richtige Adressat sind oder diese E-Mail irrtümlich erhalten haben, informieren Sie bitte sofort den Absender und vernichten Sie diese Mail. Das unerlaubte Kopieren sowie die unbefugte Weitergabe dieser Mail ist nicht gestattet.
>
> This e-mail may contain confidential and/or privileged information. If you are not the intended recipient (or have received this e-mail in error) please notify the sender immediately and destroy this e-mail. Any unauthorised copying, disclosure or distribution of the material in this e-mail is strictly forbidden.
>
 
 
 
 

Reply | Threaded
Open this post in threaded view
|

RE: Probleme mit dem signieren ausgehender mails mit Open-DKIM

Carsten Laun-De Lellis
In reply to this post by Infoomatic
Hallo

Nochmal vielleicht ein kleiner Fingerzeig.

Im Maillog erscheinen keine dkim Nachrichten, obwohl ich auch bei success log Einträge konfiguriert habe. Es sieht so aus, als würde opendkim gar nicht angetriggert.

In allen Konfigs, die ich gesehen habe, wird jedoch nur ein Eintrag in der main.cf gemacht.

Mit freundlichem Gruß
 
Carsten Laun-De Lellis
 
Hauptstrasse 13
D - 67705 Trippstadt
 
Phone: +49 6306 992140
Mobile: +49 151 275 30865
Fax:     +49 6306 992142
email: [hidden email]
 
http://www.linkedin.com/in/carstenlaundelellis

---------------------------------------------------

Diese E-Mail könnte vertrauliche und/oder rechtlich geschützte Informationen enthalten. Wenn Sie nicht der richtige Adressat sind oder diese E-Mail irrtümlich erhalten haben, informieren Sie bitte sofort den Absender und vernichten Sie diese Mail. Das unerlaubte Kopieren sowie die unbefugte Weitergabe dieser Mail ist nicht gestattet.

This e-mail may contain confidential and/or privileged information. If you are not the intended recipient (or have received this e-mail in error) please notify the sender immediately and destroy this e-mail. Any unauthorised copying, disclosure or distribution of the material in this e-mail is strictly forbidden.


-----Original Message-----
From: Postfixbuch-users [mailto:[hidden email]] On Behalf Of Infoo Matic
Sent: Dienstag, 22. März 2016 18:19
To: [hidden email]
Subject: Re: Probleme mit dem signieren ausgehender mails mit Open-DKIM

Hi,

Hast du in der master.cf vielleicht beim smtpd ein "-o smtpd_milters=" oder ein "-o receive_override_options=no_milters"?

LG,
Robert

 
On Tuesday, March 22, 2016 15:40 CET, Carsten Laun-De Lellis <[hidden email]> wrote:
 

> Hallo, alle zusammen
>
> Ich habe folgendes Problem:
>
> Ich nehme emails von einem Exchange Server über port 25 als mailgateway entgegen für die Domänen example1.com und example2.com, welche ich gerne mit dem passenden dkim key signieren möchte:
>
> Ich habe gemäß der Anleitung https://www.digitalocean.com/community/tutorials/how-to-install-and-configure-dkim-with-postfix-on-debian-wheezy opendkim für mehrere Domänen konfiguriert:
>
> /etc/opendkim.conf
>
> Syslog                                      yes
> SyslogSuccess             yes
> LogWhy                        yes
> UMask                         002
> AutoRestart             Yes
> AutoRestartRate         10/1h
> Canonicalization        relaxed/simple
>
> ExternalIgnoreList      refile:/etc/dkimkeys/TrustedHosts
> InternalHosts           refile:/etc/dkimkeys/TrustedHosts
> KeyTable                refile:/etc/dkimkeys/KeyTable
> SigningTable            refile:/etc/dkimkeys/SigningTable
>
> Mode                    sv
> PidFile                 /var/run/opendkim/opendkim.pid
> SignatureAlgorithm      rsa-sha256
>
> UserID                  opendkim:opendkim
> SOCKET                  inet:8891@localhost
>
>
> /etc/dkimkeys/TrustedHosts
>
> 127.0.0.1
> localhost
> ip.exchange.server
> ip.postfix.server
>
> *.example1.com
> *.example2.com
>
>
> /etc/dkimkeys/SigningTable
>
> *@example1.com                   mail._domainkey.example1.com
> *@example2.com<mailto:*@example2.com>                   mail._domainkey.example2.com
>
> /etc/dkimkeys/KeyTable
>
> mail._domainkey.example1.com                     example1.com:mail:/etc/dkimkeys/keys/ example1.com / example1.com.private
> mail._domainkey.example2.com                     example2.com:mail:/etc/dkimkeys/keys/ example2.com / example2.com.private
>
> Die Keys sollten soweit eigentlich o.k. sein, da ich bei einem dkim check mit online tools ein ok bekomme. Dies deutet darauf hin, dass der Eintrag im DNS und der Schlüssel soweit passen.
>
> In Postfix habe ich den milter über den folgenden Eintrag in die /etc/postfix/main.cf eingebunden.
>
> milter_default_action = accept
> milter_protocol = 6
> smtpd_milters=inet:localhost:8891
> non_smtpd_milters=inet:localhost:8891
>
>
> Ein lsof -i :8891 liefert folgenden output:
>
> COMMAND   PID     USER   FD   TYPE DEVICE SIZE/OFF NODE NAME
> opendkim 6961 opendkim    4u  IPv4  69527      0t0  TCP localhost:8891 (LISTEN)
>
> Ich kann also davon ausgehen, dass open-dkim läuft auf dem port 8891.
>
> Wenn ich nun ein grep -i dkim /var/log/mail.log ausführe dann bekomme ich einen output der mir anzeigt, dass eingehende emails von amavis auf dkim keys überprüft werden.
>
> Bsp.:
> Mar 22 15:18:08 RV1008 amavis[5481]: (05481-09) Passed CLEAN {RelayedOutbound}, ORIGINATING LOCAL [144.76.82.147]:50211 [2607:f8b0:400d:c04::230] <[hidden email]> -> <[hidden email]>, Message-ID: <[hidden email]>, mail_id: 8mBNSew2gnNq, Hits: 0.242, size: 11501, queued_as: 0184C780094, dkim_sd=2954282:lists.samba.org, 6505 ms
>
> Für ausgehende emails finde ich keinerlei Einträge im maillog die auf irgendwelche Aktivitäten hindeuten, dass open-dkim versucht die emails zu signieren.
>
> Was mache ich da falsch?
>
> Ach ja, ich setze Ubuntu 15.10 ein mit postfix 3.0.4.
>
> Für Hinweise wäre ich wirklich dankbar.
>
> Mit freundlichem Gruß
>
> Carsten Laun-De Lellis
>
> Hauptstrasse 13
> D - 67705 Trippstadt
>
> Phone: +49 6306 992140
> Mobile: +49 151 275 30865
> Fax:     +49 6306 992142
> email: [hidden email]<mailto:[hidden email]>
>
> http://www.linkedin.com/in/carstenlaundelellis
>
> ---------------------------------------------------
>
> Diese E-Mail könnte vertrauliche und/oder rechtlich geschützte Informationen enthalten. Wenn Sie nicht der richtige Adressat sind oder diese E-Mail irrtümlich erhalten haben, informieren Sie bitte sofort den Absender und vernichten Sie diese Mail. Das unerlaubte Kopieren sowie die unbefugte Weitergabe dieser Mail ist nicht gestattet.
>
> This e-mail may contain confidential and/or privileged information. If you are not the intended recipient (or have received this e-mail in error) please notify the sender immediately and destroy this e-mail. Any unauthorised copying, disclosure or distribution of the material in this e-mail is strictly forbidden.
>
 
 
 
 

Reply | Threaded
Open this post in threaded view
|

RE: Probleme mit dem signieren ausgehender mails mit Open-DKIM

Carsten Laun-De Lellis
Hier vielleicht auch noch mal ein Auszug aus dem Maillog, was passiert, wenn ich eine email versende.

Mar 22 19:05:25 RV1008 postfix/smtpd[8994]: connect from exchange.example1.com [ex.cha.nge.ip]
Mar 22 19:05:26 RV1008 postfix/smtpd[8994]: NOQUEUE: client= exchange.example1.com [ex.cha.nge.ip]
Mar 22 19:05:31 RV1008 postfix/smtpd[9205]: connect from localhost[127.0.0.1]
Mar 22 19:05:31 RV1008 postfix/smtpd[9205]: DF814780095: client=localhost[127.0.0.1]
Mar 22 19:05:31 RV1008 postfix/cleanup[9206]: DF814780095: message-id=<[hidden email]>
Mar 22 19:05:31 RV1008 postfix/qmgr[8929]: DF814780095: from=<[hidden email]>, size=62512, nrcpt=1 (queue active)
Mar 22 19:05:31 RV1008 amavis[8993]: (08993-01) Passed CLEAN {RelayedOutbound}, ORIGINATING LOCAL [ex.cha.nge.ip]:32784 [ex.cha.nge.ip] <[hidden email]>-> <[hidden email]>, Message-ID: <[hidden email]>, mail_id: RyFLa3eHUMCv, Hits: 0.921, size: 61996, queued_as: DF814780095, 5952 ms
Mar 22 19:05:31 RV1008 postfix/smtpd[8994]: proxy-accept: END-OF-MESSAGE: 250 2.0.0 from MTA(smtp:[127.0.0.1]:10025): 250 2.0.0 Ok: queued as DF814780095; from=<[hidden email]> to<[hidden email]> proto=ESMTP helo=< exchange.example1.com>
Mar 22 19:05:32 RV1008 postfix/smtpd[8994]: disconnect from exchange.example1.com [ex.cha.nge.ip]ehlo=2 starttls=1 mail=1 rcpt=1 data=1 quit=1 commands=7
Mar 22 19:05:32 RV1008 postfix/smtp[9004]: DF814780095: to=<[hidden email]>, relay=mx00.emig.kundenserver.de[212.227.15.40]:25, delay=0.31, delays=0.05/0/0.1/0.16, dsn=2.0.0, status=sent (250 Requested mail action okay, completed: id=0Ly53t-1ZfFEn0XUj-015cIq)
Mar 22 19:05:32 RV1008 postfix/cleanup[9206]: 3A016780097: message-id=<20160322180532.3A016780097@RV1008>

Wobei RV1008 der postfix server ist. Alles sieht soweit gut aus. Bis auf das fehlende signieren der emails.

Mit freundlichem Gruß
 
Carsten Laun-De Lellis
 
Hauptstrasse 13
D - 67705 Trippstadt
 
Phone: +49 6306 992140
Mobile: +49 151 275 30865
Fax:     +49 6306 992142
email: [hidden email]
 
http://www.linkedin.com/in/carstenlaundelellis

---------------------------------------------------

Diese E-Mail könnte vertrauliche und/oder rechtlich geschützte Informationen enthalten. Wenn Sie nicht der richtige Adressat sind oder diese E-Mail irrtümlich erhalten haben, informieren Sie bitte sofort den Absender und vernichten Sie diese Mail. Das unerlaubte Kopieren sowie die unbefugte Weitergabe dieser Mail ist nicht gestattet.

This e-mail may contain confidential and/or privileged information. If you are not the intended recipient (or have received this e-mail in error) please notify the sender immediately and destroy this e-mail. Any unauthorised copying, disclosure or distribution of the material in this e-mail is strictly forbidden.


-----Original Message-----
From: Postfixbuch-users [mailto:[hidden email]] On Behalf Of Carsten Laun-De Lellis
Sent: Dienstag, 22. März 2016 18:54
To: Diskussionen und Support rund um Postfix <[hidden email]>
Subject: RE: Probleme mit dem signieren ausgehender mails mit Open-DKIM

Hallo

Nochmal vielleicht ein kleiner Fingerzeig.

Im Maillog erscheinen keine dkim Nachrichten, obwohl ich auch bei success log Einträge konfiguriert habe. Es sieht so aus, als würde opendkim gar nicht angetriggert.

In allen Konfigs, die ich gesehen habe, wird jedoch nur ein Eintrag in der main.cf gemacht.

Mit freundlichem Gruß
 
Carsten Laun-De Lellis
 
Hauptstrasse 13
D - 67705 Trippstadt
 
Phone: +49 6306 992140
Mobile: +49 151 275 30865
Fax:     +49 6306 992142
email: [hidden email]
 
http://www.linkedin.com/in/carstenlaundelellis

---------------------------------------------------

Diese E-Mail könnte vertrauliche und/oder rechtlich geschützte Informationen enthalten. Wenn Sie nicht der richtige Adressat sind oder diese E-Mail irrtümlich erhalten haben, informieren Sie bitte sofort den Absender und vernichten Sie diese Mail. Das unerlaubte Kopieren sowie die unbefugte Weitergabe dieser Mail ist nicht gestattet.

This e-mail may contain confidential and/or privileged information. If you are not the intended recipient (or have received this e-mail in error) please notify the sender immediately and destroy this e-mail. Any unauthorised copying, disclosure or distribution of the material in this e-mail is strictly forbidden.


-----Original Message-----
From: Postfixbuch-users [mailto:[hidden email]] On Behalf Of Infoo Matic
Sent: Dienstag, 22. März 2016 18:19
To: [hidden email]
Subject: Re: Probleme mit dem signieren ausgehender mails mit Open-DKIM

Hi,

Hast du in der master.cf vielleicht beim smtpd ein "-o smtpd_milters=" oder ein "-o receive_override_options=no_milters"?

LG,
Robert

 
On Tuesday, March 22, 2016 15:40 CET, Carsten Laun-De Lellis <[hidden email]> wrote:
 

> Hallo, alle zusammen
>
> Ich habe folgendes Problem:
>
> Ich nehme emails von einem Exchange Server über port 25 als mailgateway entgegen für die Domänen example1.com und example2.com, welche ich gerne mit dem passenden dkim key signieren möchte:
>
> Ich habe gemäß der Anleitung https://www.digitalocean.com/community/tutorials/how-to-install-and-configure-dkim-with-postfix-on-debian-wheezy opendkim für mehrere Domänen konfiguriert:
>
> /etc/opendkim.conf
>
> Syslog                                      yes
> SyslogSuccess             yes
> LogWhy                        yes
> UMask                         002
> AutoRestart             Yes
> AutoRestartRate         10/1h
> Canonicalization        relaxed/simple
>
> ExternalIgnoreList      refile:/etc/dkimkeys/TrustedHosts
> InternalHosts           refile:/etc/dkimkeys/TrustedHosts
> KeyTable                refile:/etc/dkimkeys/KeyTable
> SigningTable            refile:/etc/dkimkeys/SigningTable
>
> Mode                    sv
> PidFile                 /var/run/opendkim/opendkim.pid
> SignatureAlgorithm      rsa-sha256
>
> UserID                  opendkim:opendkim
> SOCKET                  inet:8891@localhost
>
>
> /etc/dkimkeys/TrustedHosts
>
> 127.0.0.1
> localhost
> ip.exchange.server
> ip.postfix.server
>
> *.example1.com
> *.example2.com
>
>
> /etc/dkimkeys/SigningTable
>
> *@example1.com                   mail._domainkey.example1.com
> *@example2.com<mailto:*@example2.com>                   mail._domainkey.example2.com
>
> /etc/dkimkeys/KeyTable
>
> mail._domainkey.example1.com                     example1.com:mail:/etc/dkimkeys/keys/ example1.com / example1.com.private
> mail._domainkey.example2.com                     example2.com:mail:/etc/dkimkeys/keys/ example2.com / example2.com.private
>
> Die Keys sollten soweit eigentlich o.k. sein, da ich bei einem dkim check mit online tools ein ok bekomme. Dies deutet darauf hin, dass der Eintrag im DNS und der Schlüssel soweit passen.
>
> In Postfix habe ich den milter über den folgenden Eintrag in die /etc/postfix/main.cf eingebunden.
>
> milter_default_action = accept
> milter_protocol = 6
> smtpd_milters=inet:localhost:8891
> non_smtpd_milters=inet:localhost:8891
>
>
> Ein lsof -i :8891 liefert folgenden output:
>
> COMMAND   PID     USER   FD   TYPE DEVICE SIZE/OFF NODE NAME
> opendkim 6961 opendkim    4u  IPv4  69527      0t0  TCP localhost:8891 (LISTEN)
>
> Ich kann also davon ausgehen, dass open-dkim läuft auf dem port 8891.
>
> Wenn ich nun ein grep -i dkim /var/log/mail.log ausführe dann bekomme ich einen output der mir anzeigt, dass eingehende emails von amavis auf dkim keys überprüft werden.
>
> Bsp.:
> Mar 22 15:18:08 RV1008 amavis[5481]: (05481-09) Passed CLEAN {RelayedOutbound}, ORIGINATING LOCAL [144.76.82.147]:50211 [2607:f8b0:400d:c04::230] <[hidden email]> -> <[hidden email]>, Message-ID: <[hidden email]>, mail_id: 8mBNSew2gnNq, Hits: 0.242, size: 11501, queued_as: 0184C780094, dkim_sd=2954282:lists.samba.org, 6505 ms
>
> Für ausgehende emails finde ich keinerlei Einträge im maillog die auf irgendwelche Aktivitäten hindeuten, dass open-dkim versucht die emails zu signieren.
>
> Was mache ich da falsch?
>
> Ach ja, ich setze Ubuntu 15.10 ein mit postfix 3.0.4.
>
> Für Hinweise wäre ich wirklich dankbar.
>
> Mit freundlichem Gruß
>
> Carsten Laun-De Lellis
>
> Hauptstrasse 13
> D - 67705 Trippstadt
>
> Phone: +49 6306 992140
> Mobile: +49 151 275 30865
> Fax:     +49 6306 992142
> email: [hidden email]<mailto:[hidden email]>
>
> http://www.linkedin.com/in/carstenlaundelellis
>
> ---------------------------------------------------
>
> Diese E-Mail könnte vertrauliche und/oder rechtlich geschützte Informationen enthalten. Wenn Sie nicht der richtige Adressat sind oder diese E-Mail irrtümlich erhalten haben, informieren Sie bitte sofort den Absender und vernichten Sie diese Mail. Das unerlaubte Kopieren sowie die unbefugte Weitergabe dieser Mail ist nicht gestattet.
>
> This e-mail may contain confidential and/or privileged information. If you are not the intended recipient (or have received this e-mail in error) please notify the sender immediately and destroy this e-mail. Any unauthorised copying, disclosure or distribution of the material in this e-mail is strictly forbidden.
>
 
 
 
 

Reply | Threaded
Open this post in threaded view
|

RE: Probleme mit dem signieren ausgehender mails mit Open-DKIM

Carsten Laun-De Lellis
Hallo

Vielleicht kann mir da einer mal auf die Sprünge helfen.

In meinem Log habe ich folgenden Eintrag stehen:

Mar 22 19:05:25 RV1008 postfix/smtpd[8994]: connect from exchange.example1.com [ex.cha.nge.ip] Mar 22 19:05:26 RV1008 postfix/smtpd[8994]: NOQUEUE: client= exchange.example1.com

Was bedeutet eigentlich das NOQUEUE in der 2. Zeile.
Die email wird eigentlich sauber durchgeroutet und zugestellt.


Mit freundlichem Gruß
 
Carsten Laun-De Lellis
 
Hauptstrasse 13
D - 67705 Trippstadt
 
Phone: +49 6306 992140
Mobile: +49 151 275 30865
Fax:     +49 6306 992142
email: [hidden email]
 
http://www.linkedin.com/in/carstenlaundelellis

---------------------------------------------------

Diese E-Mail könnte vertrauliche und/oder rechtlich geschützte Informationen enthalten. Wenn Sie nicht der richtige Adressat sind oder diese E-Mail irrtümlich erhalten haben, informieren Sie bitte sofort den Absender und vernichten Sie diese Mail. Das unerlaubte Kopieren sowie die unbefugte Weitergabe dieser Mail ist nicht gestattet.

This e-mail may contain confidential and/or privileged information. If you are not the intended recipient (or have received this e-mail in error) please notify the sender immediately and destroy this e-mail. Any unauthorised copying, disclosure or distribution of the material in this e-mail is strictly forbidden.

-----Original Message-----
From: Postfixbuch-users [mailto:[hidden email]] On Behalf Of Carsten Laun-De Lellis
Sent: Dienstag, 22. März 2016 19:12
To: Diskussionen und Support rund um Postfix <[hidden email]>
Subject: RE: Probleme mit dem signieren ausgehender mails mit Open-DKIM

Hier vielleicht auch noch mal ein Auszug aus dem Maillog, was passiert, wenn ich eine email versende.

Mar 22 19:05:25 RV1008 postfix/smtpd[8994]: connect from exchange.example1.com [ex.cha.nge.ip] Mar 22 19:05:26 RV1008 postfix/smtpd[8994]: NOQUEUE: client= exchange.example1.com [ex.cha.nge.ip] Mar 22 19:05:31 RV1008 postfix/smtpd[9205]: connect from localhost[127.0.0.1] Mar 22 19:05:31 RV1008 postfix/smtpd[9205]: DF814780095: client=localhost[127.0.0.1] Mar 22 19:05:31 RV1008 postfix/cleanup[9206]: DF814780095: message-id=<[hidden email]>
Mar 22 19:05:31 RV1008 postfix/qmgr[8929]: DF814780095: from=<[hidden email]>, size=62512, nrcpt=1 (queue active) Mar 22 19:05:31 RV1008 amavis[8993]: (08993-01) Passed CLEAN {RelayedOutbound}, ORIGINATING LOCAL [ex.cha.nge.ip]:32784 [ex.cha.nge.ip] <[hidden email]>-> <[hidden email]>, Message-ID: <[hidden email]>, mail_id: RyFLa3eHUMCv, Hits: 0.921, size: 61996, queued_as: DF814780095, 5952 ms Mar 22 19:05:31 RV1008 postfix/smtpd[8994]: proxy-accept: END-OF-MESSAGE: 250 2.0.0 from MTA(smtp:[127.0.0.1]:10025): 250 2.0.0 Ok: queued as DF814780095; from=<[hidden email]> to<[hidden email]> proto=ESMTP helo=< exchange.example1.com> Mar 22 19:05:32 RV1008 postfix/smtpd[8994]: disconnect from exchange.example1.com [ex.cha.nge.ip]ehlo=2 starttls=1 mail=1 rcpt=1 data=1 quit=1 commands=7 Mar 22 19:05:32 RV1008 postfix/smtp[9004]: DF814780095: to=<[hidden email]>, relay=mx00.emig.kundenserver.de[212.227.15.40]:25, delay=0.31, delays=0.05/0/0.1/0.16, dsn=2.0.0, status=sent (250 Requested mail action okay, completed: id=0Ly53t-1ZfFEn0XUj-015cIq) Mar 22 19:05:32 RV1008 postfix/cleanup[9206]: 3A016780097: message-id=<20160322180532.3A016780097@RV1008>

Wobei RV1008 der postfix server ist. Alles sieht soweit gut aus. Bis auf das fehlende signieren der emails.

Mit freundlichem Gruß
 
Carsten Laun-De Lellis
 
Hauptstrasse 13
D - 67705 Trippstadt
 
Phone: +49 6306 992140
Mobile: +49 151 275 30865
Fax:     +49 6306 992142
email: [hidden email]
 
http://www.linkedin.com/in/carstenlaundelellis

---------------------------------------------------

Diese E-Mail könnte vertrauliche und/oder rechtlich geschützte Informationen enthalten. Wenn Sie nicht der richtige Adressat sind oder diese E-Mail irrtümlich erhalten haben, informieren Sie bitte sofort den Absender und vernichten Sie diese Mail. Das unerlaubte Kopieren sowie die unbefugte Weitergabe dieser Mail ist nicht gestattet.

This e-mail may contain confidential and/or privileged information. If you are not the intended recipient (or have received this e-mail in error) please notify the sender immediately and destroy this e-mail. Any unauthorised copying, disclosure or distribution of the material in this e-mail is strictly forbidden.


-----Original Message-----
From: Postfixbuch-users [mailto:[hidden email]] On Behalf Of Carsten Laun-De Lellis
Sent: Dienstag, 22. März 2016 18:54
To: Diskussionen und Support rund um Postfix <[hidden email]>
Subject: RE: Probleme mit dem signieren ausgehender mails mit Open-DKIM

Hallo

Nochmal vielleicht ein kleiner Fingerzeig.

Im Maillog erscheinen keine dkim Nachrichten, obwohl ich auch bei success log Einträge konfiguriert habe. Es sieht so aus, als würde opendkim gar nicht angetriggert.

In allen Konfigs, die ich gesehen habe, wird jedoch nur ein Eintrag in der main.cf gemacht.

Mit freundlichem Gruß
 
Carsten Laun-De Lellis
 
Hauptstrasse 13
D - 67705 Trippstadt
 
Phone: +49 6306 992140
Mobile: +49 151 275 30865
Fax:     +49 6306 992142
email: [hidden email]
 
http://www.linkedin.com/in/carstenlaundelellis

---------------------------------------------------

Diese E-Mail könnte vertrauliche und/oder rechtlich geschützte Informationen enthalten. Wenn Sie nicht der richtige Adressat sind oder diese E-Mail irrtümlich erhalten haben, informieren Sie bitte sofort den Absender und vernichten Sie diese Mail. Das unerlaubte Kopieren sowie die unbefugte Weitergabe dieser Mail ist nicht gestattet.

This e-mail may contain confidential and/or privileged information. If you are not the intended recipient (or have received this e-mail in error) please notify the sender immediately and destroy this e-mail. Any unauthorised copying, disclosure or distribution of the material in this e-mail is strictly forbidden.


-----Original Message-----
From: Postfixbuch-users [mailto:[hidden email]] On Behalf Of Infoo Matic
Sent: Dienstag, 22. März 2016 18:19
To: [hidden email]
Subject: Re: Probleme mit dem signieren ausgehender mails mit Open-DKIM

Hi,

Hast du in der master.cf vielleicht beim smtpd ein "-o smtpd_milters=" oder ein "-o receive_override_options=no_milters"?

LG,
Robert

 
On Tuesday, March 22, 2016 15:40 CET, Carsten Laun-De Lellis <[hidden email]> wrote:
 

> Hallo, alle zusammen
>
> Ich habe folgendes Problem:
>
> Ich nehme emails von einem Exchange Server über port 25 als mailgateway entgegen für die Domänen example1.com und example2.com, welche ich gerne mit dem passenden dkim key signieren möchte:
>
> Ich habe gemäß der Anleitung https://www.digitalocean.com/community/tutorials/how-to-install-and-configure-dkim-with-postfix-on-debian-wheezy opendkim für mehrere Domänen konfiguriert:
>
> /etc/opendkim.conf
>
> Syslog                                      yes
> SyslogSuccess             yes
> LogWhy                        yes
> UMask                         002
> AutoRestart             Yes
> AutoRestartRate         10/1h
> Canonicalization        relaxed/simple
>
> ExternalIgnoreList      refile:/etc/dkimkeys/TrustedHosts
> InternalHosts           refile:/etc/dkimkeys/TrustedHosts
> KeyTable                refile:/etc/dkimkeys/KeyTable
> SigningTable            refile:/etc/dkimkeys/SigningTable
>
> Mode                    sv
> PidFile                 /var/run/opendkim/opendkim.pid
> SignatureAlgorithm      rsa-sha256
>
> UserID                  opendkim:opendkim
> SOCKET                  inet:8891@localhost
>
>
> /etc/dkimkeys/TrustedHosts
>
> 127.0.0.1
> localhost
> ip.exchange.server
> ip.postfix.server
>
> *.example1.com
> *.example2.com
>
>
> /etc/dkimkeys/SigningTable
>
> *@example1.com                   mail._domainkey.example1.com
> *@example2.com<mailto:*@example2.com>                   mail._domainkey.example2.com
>
> /etc/dkimkeys/KeyTable
>
> mail._domainkey.example1.com                     example1.com:mail:/etc/dkimkeys/keys/ example1.com / example1.com.private
> mail._domainkey.example2.com                     example2.com:mail:/etc/dkimkeys/keys/ example2.com / example2.com.private
>
> Die Keys sollten soweit eigentlich o.k. sein, da ich bei einem dkim check mit online tools ein ok bekomme. Dies deutet darauf hin, dass der Eintrag im DNS und der Schlüssel soweit passen.
>
> In Postfix habe ich den milter über den folgenden Eintrag in die /etc/postfix/main.cf eingebunden.
>
> milter_default_action = accept
> milter_protocol = 6
> smtpd_milters=inet:localhost:8891
> non_smtpd_milters=inet:localhost:8891
>
>
> Ein lsof -i :8891 liefert folgenden output:
>
> COMMAND   PID     USER   FD   TYPE DEVICE SIZE/OFF NODE NAME
> opendkim 6961 opendkim    4u  IPv4  69527      0t0  TCP localhost:8891 (LISTEN)
>
> Ich kann also davon ausgehen, dass open-dkim läuft auf dem port 8891.
>
> Wenn ich nun ein grep -i dkim /var/log/mail.log ausführe dann bekomme ich einen output der mir anzeigt, dass eingehende emails von amavis auf dkim keys überprüft werden.
>
> Bsp.:
> Mar 22 15:18:08 RV1008 amavis[5481]: (05481-09) Passed CLEAN
> {RelayedOutbound}, ORIGINATING LOCAL [144.76.82.147]:50211
> [2607:f8b0:400d:c04::230] <[hidden email]> ->
> <[hidden email]>, Message-ID:
> <[hidden email]>,
> mail_id: 8mBNSew2gnNq, Hits: 0.242, size: 11501, queued_as:
> 0184C780094, dkim_sd=2954282:lists.samba.org, 6505 ms
>
> Für ausgehende emails finde ich keinerlei Einträge im maillog die auf irgendwelche Aktivitäten hindeuten, dass open-dkim versucht die emails zu signieren.
>
> Was mache ich da falsch?
>
> Ach ja, ich setze Ubuntu 15.10 ein mit postfix 3.0.4.
>
> Für Hinweise wäre ich wirklich dankbar.
>
> Mit freundlichem Gruß
>
> Carsten Laun-De Lellis
>
> Hauptstrasse 13
> D - 67705 Trippstadt
>
> Phone: +49 6306 992140
> Mobile: +49 151 275 30865
> Fax:     +49 6306 992142
> email:
> [hidden email]<mailto:[hidden email]>
>
> http://www.linkedin.com/in/carstenlaundelellis
>
> ---------------------------------------------------
>
> Diese E-Mail könnte vertrauliche und/oder rechtlich geschützte Informationen enthalten. Wenn Sie nicht der richtige Adressat sind oder diese E-Mail irrtümlich erhalten haben, informieren Sie bitte sofort den Absender und vernichten Sie diese Mail. Das unerlaubte Kopieren sowie die unbefugte Weitergabe dieser Mail ist nicht gestattet.
>
> This e-mail may contain confidential and/or privileged information. If you are not the intended recipient (or have received this e-mail in error) please notify the sender immediately and destroy this e-mail. Any unauthorised copying, disclosure or distribution of the material in this e-mail is strictly forbidden.
>
 
 
 
 

Reply | Threaded
Open this post in threaded view
|

Re: Probleme mit dem signieren ausgehender mails mit Open-DKIM

Jens Adam-2
Tue, 22 Mar 2016 19:48:39 +0000
Carsten Laun-De Lellis <[hidden email]>:

> postfix/smtpd[8994]: NOQUEUE: client= exchange.example1.com
>
> Was bedeutet eigentlich das NOQUEUE in der 2. Zeile.
> Die email wird eigentlich sauber durchgeroutet und zugestellt.

http://www.postfix.org/postconf.5.html#smtpd_delay_open_until_valid_rcpt

--byte

(Können wir das mit dem TOFU mal wieder in den Griff kriegen? Danke.)

attachment0 (465 bytes) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: Probleme mit dem signieren ausgehender mails mit Open-DKIM

Klaus Tachtler
In reply to this post by Carsten Laun-De Lellis
Hallo Carsten,

hast Du nachfolgende Einträge in Deinen Konfigurationen?

/etc/postfix/main.cf
/etc/postfix/master.cf

http://www.dokuwiki.tachtler.net/doku.php?id=tachtler:postfix_centos_7_-_opendkim_anbinden_opendkim-milter#konfigurationopendkim-milter

> Anbei noch meine master.cf:
>
> # amavis content filtering
> smtp-amavis     unix    -       -       -       -       2       smtp
>  -o smtp_data_done_timeout=1200
>  -o smtp_send_xforward_command=yes
>  -o disable_dns_lookups=yes
>  -o disable_mime_output_conversion=yes

Falls AMaViS nach der Prüfung der E-Mail auf 127.0.0.1:10025 wieder  
einliefert, könntest Du nachfolgende Dinge ergänzen bzw. abändern -  
setzt aber die Konfiguration wie unter:

http://www.dokuwiki.tachtler.net/doku.php?id=tachtler:postfix_centos_7_-_opendkim_anbinden_opendkim-milter#konfigurationopendkim-milter:

voraus!

> 127.0.0.1:10025 inet n    -       n       -       -     smtpd
>  -o content_filter=

    -o smtpd_milters=${opendkim_milter}

>  -o smtpd_proxy_filter=
>  -o smtpd_delay_reject=no
>  -o smtpd_helo_restrictions=
>  -o smtpd_sender_restrictions=
>  -o smtpd_client_restrictions=
>  -o smtpd_recipient_restrictions=permit_mynetworks,reject
>  -o smtpd_data_restrictions=reject_unauth_pipelining
>  -o mynetworks=127.0.0.0/8
>  -o  
> receive_override_options=no_header_body_checks,no_unknown_recipient_checks,no_milters

   receive_override_options=no_header_body_checks,no_unknown_recipient_checks

> policy-spf  unix  -       n       n       -       -       spawn
>      user=nobody argv=/usr/bin/policyd-spf
>
> Für einen guten Tipp wäre ich wirklich dankbar.
>
> Mit freundlichem Gruß
> &nbsp;
> Carsten Laun-De Lellis

Grüße
Klaus.


--

------------------------------------------
e-Mail  : [hidden email]
Homepage: http://www.tachtler.net
DokuWiki: http://www.dokuwiki.tachtler.net
------------------------------------------