我已经让 Postfix + spamassassin 运行了,并且正在引入 opendkim。
我几乎已经完成了,只是发出的邮件需要两次 DKIM 签名,这不仅没用,甚至会使它们的 DKIM 无效。
据我所知,整个过程可以归结为 Postfix 调用 opendkim,然后将消息传递给 spamassassin,后者又将其返回给 postfix,后者再次调用 opendkim。
话虽如此,我不知道要对配置进行什么改变才能防止这种情况发生。
我认为 DKIM 配置本身没有错误。我遵循了以下教程:
- https://wiki.debian.org/opendkim
- https://wiki.archlinux.org/index.php/OpenDKIM
- https://askubuntu.com/a/136491/419514
/etc/opendkim.conf
KeyTable refile:/etc/postfix/dkim/keytable
SigningTable refile:/etc/postfix/dkim/signingtable
ExternalIgnoreList refile:/etc/postfix/dkim/TrustedHosts
InternalHosts refile:/etc/postfix/dkim/TrustedHosts
在/etc/postfix/dkim/TrustedHosts
127.0.0.1
::1
localhost
xxx.xxx.xxx.xxx (server IP)
xxxx:xxxx:... (server IPv6)
domain.tld
*.domain.tld
Postfix 配置如下。
我将这些行添加到 main.cf 中:
[...]
milter_default_action = accept
milter_protocol = 2
smtpd_milters = inet:localhost:8891, inet:localhost:8892
non_smtpd_milters = $smtpd_milters
我没有动过 master.cf:
# ==========================================================================
# service type private unpriv chroot wakeup maxproc command + args
# (yes) (yes) (no) (never) (100)
# ==========================================================================
smtp inet n - y - - smtpd
-o content_filter=spamassassin
#smtp inet n - y - 1 postscreen
#smtpd pass - - y - - smtpd
#dnsblog unix - - y - 0 dnsblog
#tlsproxy unix - - y - 0 tlsproxy
#submission inet n - y - - smtpd
# -o syslog_name=postfix/submission
# -o smtpd_tls_security_level=encrypt
# -o smtpd_sasl_auth_enable=yes
# -o smtpd_reject_unlisted_recipient=no
# -o smtpd_client_restrictions=$mua_client_restrictions
# -o smtpd_helo_restrictions=$mua_helo_restrictions
# -o smtpd_sender_restrictions=$mua_sender_restrictions
# -o smtpd_recipient_restrictions=
# -o smtpd_relay_restrictions=permit_sasl_authenticated,reject
# -o milter_macro_daemon_name=ORIGINATING
#smtps inet n - y - - smtpd
# -o syslog_name=postfix/smtps
# -o smtpd_tls_wrappermode=yes
# -o smtpd_sasl_auth_enable=yes
# -o smtpd_reject_unlisted_recipient=no
# -o smtpd_client_restrictions=$mua_client_restrictions
# -o smtpd_helo_restrictions=$mua_helo_restrictions
# -o smtpd_sender_restrictions=$mua_sender_restrictions
# -o smtpd_recipient_restrictions=
# -o smtpd_relay_restrictions=permit_sasl_authenticated,reject
# -o milter_macro_daemon_name=ORIGINATING
#628 inet n - y - - qmqpd
pickup unix n - y 60 1 pickup
cleanup unix n - y - 0 cleanup
qmgr unix n - n 300 1 qmgr
#qmgr unix n - n 300 1 oqmgr
tlsmgr unix - - y 1000? 1 tlsmgr
rewrite unix - - y - - trivial-rewrite
bounce unix - - y - 0 bounce
defer unix - - y - 0 bounce
trace unix - - y - 0 bounce
verify unix - - y - 1 verify
flush unix n - y 1000? 0 flush
proxymap unix - - n - - proxymap
proxywrite unix - - n - 1 proxymap
smtp unix - - y - - smtp
relay unix - - y - - smtp
# -o smtp_helo_timeout=5 -o smtp_connect_timeout=5
showq unix n - y - - showq
error unix - - y - - error
retry unix - - y - - error
discard unix - - y - - discard
local unix - n n - - local
virtual unix - n n - - virtual
lmtp unix - - y - - lmtp
anvil unix - - y - 1 anvil
scache unix - - y - 1 scache
#
# ====================================================================
# Interfaces to non-Postfix software. Be sure to examine the manual
# pages of the non-Postfix software to find out what options it wants.
#
# Many of the following services use the Postfix pipe(8) delivery
# agent. See the pipe(8) man page for information about ${recipient}
# and other message envelope options.
# ====================================================================
#
# maildrop. See the Postfix MAILDROP_README file for details.
# Also specify in main.cf: maildrop_destination_recipient_limit=1
#
maildrop unix - n n - - pipe
flags=DRhu user=vmail argv=/usr/bin/maildrop -d ${recipient}
#
# ====================================================================
#
# Recent Cyrus versions can use the existing "lmtp" master.cf entry.
#
# Specify in cyrus.conf:
# lmtp cmd="lmtpd -a" listen="localhost:lmtp" proto=tcp4
#
# Specify in main.cf one or more of the following:
# mailbox_transport = lmtp:inet:localhost
# virtual_transport = lmtp:inet:localhost
#
# ====================================================================
#
# Cyrus 2.1.5 (Amos Gouaux)
# Also specify in main.cf: cyrus_destination_recipient_limit=1
#
#cyrus unix - n n - - pipe
# user=cyrus argv=/cyrus/bin/deliver -e -r ${sender} -m ${extension} ${user}
#
# ====================================================================
# Old example of delivery via Cyrus.
#
#old-cyrus unix - n n - - pipe
# flags=R user=cyrus argv=/cyrus/bin/deliver -e -m ${extension} ${user}
#
# ====================================================================
#
# See the Postfix UUCP_README file for configuration details.
#
uucp unix - n n - - pipe
flags=Fqhu user=uucp argv=uux -r -n -z -a$sender - $nexthop!rmail ($recipient)
#
# Other external delivery methods.
#
ifmail unix - n n - - pipe
flags=F user=ftn argv=/usr/lib/ifmail/ifmail -r $nexthop ($recipient)
bsmtp unix - n n - - pipe
flags=Fq. user=bsmtp argv=/usr/lib/bsmtp/bsmtp -t$nexthop -f$sender $recipient
scalemail-backend unix - n n - 2 pipe
flags=R user=scalemail argv=/usr/lib/scalemail/bin/scalemail-store ${nexthop} ${user} ${extension}
dovecot unix - n n - - pipe
flags=DRhu user=vmail:vmail argv=/usr/lib/dovecot/deliver -f ${sender} -d ${recipient}
spamassassin unix - n n - - pipe
user=debian-spamd argv=/usr/bin/spamc -f -e /usr/sbin/sendmail -oi -f ${sender} ${recipient}
我发现的关于“DKIM 签名两次”问题的建议解释了为什么会发生这种情况,但解决方案适用于与我的配置不同的配置(例如Ubuntu 文档)。他们建议添加no_milters一行-o receive_override_options=。但我没有这行。我不使用 amavis。我不知道如何继续,因为 master.cf 对我来说有点神秘。
问题:
- 根本原因是否正确识别(由于 spamassassin 将消息重新发送到队列而导致的双重签名)?
- 当消息返回队列时如何跳过过滤器?
- 在 spamassassin 之后而不是之前进行 DKIM 签名是否更好?如果是这样,配置应该是什么?(我想
smtpd_milters从 main.cf 中删除并添加-o smtpd_milters=...以代替receive_override_options=no_milters,但这似乎并不常见,所以我认为这并不重要。)
答案1
我认为我已经找到了正确的配置。
保留上面的master.cf文件,这是main.cf的内容:
# DKIM
non_smtpd_milters = inet:localhost:8891
# DMARC
smtpd_milters = inet:localhost:8892
通过此配置,发出的邮件都会经过 DKIM 签名,无论它们来自我的电子邮件客户端还是安装在服务器上的网络邮件。
并对传入邮件进行 DMARC 检查。
SMTP 专用过滤器处理通过 Postfix smtpd(8) 服务器到达的邮件。它们通常用于过滤不需要的邮件和对来自授权 SMTP 客户端的邮件进行签名。[...] 通过 Postfix smtpd(8) 服务器到达的邮件不会被下文所述的非 SMTP 过滤器过滤。
非 SMTP 过滤器处理通过 Postfix sendmail(1) 命令行或 Postfix qmqpd(8) 服务器到达的邮件。它们通常仅用于对邮件进行数字签名。[...]
IIUC,如果我没有使用 spamassassin,我应该将 opendkim 设置为 smtpd 过滤器。但是由于 spamassassin 使用 sendmail 重新发送邮件,因此它会作为非 smtpd 过滤器通过 opendkim,因此解决方案是将 opendkim 设置为仅 smtpd 过滤器。
我反复试验后发现了这一点。我希望它能帮助遇到类似问题的人,但我仍然对有根据的解释感兴趣。
顺便说一下,下面是我用来验证 DKIM 签名的在线测试器的链接:
答案2
感谢您的研究,我遇到了完全相同的问题。
我认为 main.cf 中的行应为:
smtpd_milters = inet:127.0.0.1:8891 inet:127.0.0.1:8893
non_smtpd_milters =
虽然从您的帖子来看您的 dmarc 似乎在 8892 上运行 - 但是我正在运行 Centos 7.5 / RHEL 7.5。
我认为在 spamassasin 之后不需要运行 DKIM。我认为应该运行 DKIM前spamassasin 在所有 SMTPD 传入上,以便它可以读取结果并将其用于对垃圾邮件进行分类。我的 dmarc 无论如何都会忽略 127.0.0.1。
这确实让 DKIM 将我的本地签名添加到来自 fetchmail(外部邮箱)的传入邮件中,然后显然会通过(并且 dmarc 会忽略),但我宁愿让 spamassassin 检查其他所有内容,并且看不到专门为来自 127.0.0.1 的邮件指定 SMTPD 选项的方法
non_smtpd_milters 可能默认为空 - 我将其保留以便自己澄清。
如果您的 Postfix 大于 2.6,则 milter_protocol = 2 是不必要的。
答案3
最好的解决方案似乎是简单地修改如下行/etc/postfix/master.cf:
原文如下:
smtp inet n - y - - smtpd
-o content_filter=spamassassin
固网线路:
smtp inet n - y - - smtpd
-o content_filter=spamassassin -o receive_override_options=no_milters
也就是说,您只需添加-o receive_override_options=no_milters到spamassassin行中即可。这样在将邮件传递给 SpamAssassin 之前,将跳过应用任何过滤器。
由于 SpamAssassin 随后在没有 SMTP 的情况下将消息重新提交到队列,因此您non_smtpd_milters也需要应用过滤器。
这使得 SMTP 提交的邮件和本地提交的邮件都可以正确签名,而无需双重签名。
PS. 只需运行man 5 master即可查看有关master.cf文件语法的完整文档。