DKIM не хочет подписыват письма Postfix

0

1

создаю связку SPF+DKIM+DMARC

Все заработало кроме DKIM, ни в какую не хочет подписывать наши письма, он проверяет подписи у писем у которых есть входящие, но наши, свои письма подписывать не хочет.

Aug  5 07:01:33 mail opendkim[197338]: 4BA892018F291: mx7.spsndr.com [213.109.77.166] not internal
Aug  5 07:01:33 mail opendkim[197338]: 4BA892018F291: not authenticated
Aug  5 07:01:33 mail opendkim[197338]: 4BA892018F291: message has signatures from lssp.ru, spsndr.com
Aug  5 07:01:33 mail opendkim[197338]: 4BA892018F291: DKIM verification successful
A

а свои

Aug  5 12:55:08 mail opendkim[267993]: D673D2018F3F8: averianov.office [172.16.1.17] not internal
Aug  5 12:55:08 mail opendkim[267993]: D673D2018F3F8: not authenticated
Aug  5 12:55:08 mail opendkim[267993]: D673D2018F3F8: no signature data

Чего не хватает ему не пойму, локальный тест прогнал все ОК, тес валидаторов в инете с селектором и доменом тоже пройден -OK

Mode sv

Пути к ключам и тп перепроверил сто раз

Правда mydomen.ru не averianov.office [172.16.1.17] может тут что порылось… пытаюсь отправить почту с roundcube те с 127.0.0.1 вылетает ошибка 4.7.1 сервис недоступен

Ссылка

←	Автозапуск Tmux

Сортировка каталогов в каталогах по времени

→

у opendkim в конфиге есть параметр mode, которые отвечает за то, нужно ли только проверять или только подписывать, или и то и другое.

А так же нужны настроки для вашего домена, те конкретно сертификат, которым опдписывать и прочее и прочее.

Так что неплохо бы показать конфиг opendkim со всеми файлами

constin ★★★★
(05.08.21 14:05:28 MSK)

Ответ на: комментарий от constin 05.08.21 14:05:28 MSK

про mode sv тоже знаю и проверил. публично светить тут всем не хотелось бы. а переправлять везде на mydomen тоже не вариант вернее последний вриант. Завтра на свежую голову буду все по буквам перепроверять. логи бы Opendkim заставить поподробнее писать.

alex_sim ★★★★
(05.08.21 14:21:49 MSK) автор топика
Последнее исправление: alex_sim 05.08.21 14:22:20 MSK (всего исправлений: 1)

Ответ на: комментарий от alex_sim 05.08.21 14:21:49 MSK

публично светить тут всем не хотелось

можно имена доменов поменять, ключи укоротить. главное, чтобы структура читалась.

constin ★★★★
(05.08.21 14:24:48 MSK)

Ссылка

Ответ на: комментарий от alex_sim 05.08.21 14:21:49 MSK

скорее всего ошибка либо в имени домена, либо в маске *@domain.com в таблице

constin ★★★★
(05.08.21 14:27:16 MSK)

Ссылка

А где конфиги opendkim & postfix ?

~~Twissel~~ ★★★★★
(05.08.21 14:51:10 MSK)

spsndr.com

Знатная спамерская рассылка. Лет 5 уже у менЯ в бане.

anonymous
(05.08.21 16:01:40 MSK)

Ответ на: комментарий от anonymous 05.08.21 16:01:40 MSK

Лет 5 уже у менЯ в бане.

Надо бы мне их тоже в баню …

Владимир

anonymous
(05.08.21 20:11:32 MSK)

Ссылка

Ответ на: комментарий от Twissel 05.08.21 14:51:10 MSK

А где конфиги opendkim & postfix ?

Нда видимо придется, замылился глаз

posfix mail.cf dkim в самом конце

soft_bounce = no
queue_directory = /var/spool/postfix
command_directory = /usr/sbin
daemon_directory = /usr/libexec/postfix
data_directory = /var/lib/postfix
mail_owner = postfix

myhostname = mail.mydomen.ru
mydomain = mydomen.ru
myorigin = $myhostname

inet_interfaces = all
inet_protocols = ipv4

unknown_local_recipient_reject_code = 550
mynetworks = 127.0.0.0/8,  172.16.1.0/24, 172.16.15.0/24

alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases

smtpd_banner = $myhostname ESMTP $mail_name

smtpd_relay_restrictions = permit_mynetworks  reject_unauth_destination

debug_peer_level = 2
debugger_command =
    PATH=/bin:/usr/bin:/usr/local/bin:/usr/X11R6/bin
    ddd $daemon_directory/$process_name $process_id & sleep 5

sendmail_path = /usr/sbin/sendmail.postfix
newaliases_path = /usr/bin/newaliases.postfix
mailq_path = /usr/bin/mailq.postfix
setgid_group = postdrop
html_directory = no
manpage_directory = /usr/share/man
sample_directory = /usr/share/doc/postfix/samples
readme_directory = /usr/share/doc/postfix/README_FILES

relay_domains = mysql:/etc/postfix/mysql/relay_domains.cf
virtual_alias_maps = mysql:/etc/postfix/mysql/virtual_alias_maps.cf,
 mysql:/etc/postfix/mysql/virtual_alias_domain_maps.cf
virtual_mailbox_domains = mysql:/etc/postfix/mysql/virtual_mailbox_domains.cf
virtual_mailbox_maps = mysql:/etc/postfix/mysql/virtual_mailbox_maps.cf

bounce_notice_recipient = root@mydomen.ru
address_verify_sender = root@mydomen.ru
bounce_notice_recipient = root@mydomen.ru
delay_notice_recipient = root@mydomen.ru



smtpd_discard_ehlo_keywords = etrn, silent-discard
smtpd_forbidden_commands = CONNECT GET POST
broken_sasl_auth_clients = yes
smtpd_delay_reject = yes
smtpd_helo_required = yes
smtp_always_send_ehlo = yes
disable_vrfy_command = yes

smtpd_helo_restrictions = permit_mynetworks,
 permit_sasl_authenticated,
 reject_non_fqdn_helo_hostname,
 reject_invalid_helo_hostname,
 reject_unknown_hostname

smtpd_data_restrictions = permit_mynetworks,
 permit_sasl_authenticated,
 reject_unauth_pipelining,
 reject_multi_recipient_bounce,

smtpd_sender_restrictions = permit_mynetworks,
 permit_sasl_authenticated,
 reject_non_fqdn_sender,
 check_sender_access hash:/etc/postfix/sender_access
 reject_unknown_sender_domain

smtpd_recipient_restrictions = permit_mynetworks,
 permit_sasl_authenticated,
 reject_unauth_destination,
 reject_unlisted_recipient,
 reject_unknown_recipient_domain,
 reject_non_fqdn_recipient,
 reject_multi_recipient_bounce

smtp_tls_security_level = may
smtp_tls_loglevel = 1
smtpd_tls_security_level = may
smtpd_tls_loglevel = 1
smtpd_tls_received_header = yes
smtpd_tls_session_cache_timeout = 3600s
smtp_tls_session_cache_database = btree:$data_directory/smtp_tls_session_cache
smtpd_tls_key_file = /etc/postfix/certs/key.pem
smtpd_tls_cert_file = /etc/postfix/certs/cert.pem
tls_random_source = dev:/dev/urandom
smtpd_tls_mandatory_ciphers = low
smtpd_tls_ciphers = low
smtpd_tls_mandatory_protocols = !SSLv2,!SSLv3
smtp_tls_mandatory_protocols  = !SSLv2,!SSLv3
smtp_tls_ciphers = low
smtp_tls_mandatory_ciphers = low
smtp_tls_protocols = !SSLv2,!SSLv3
smtp_tls_policy_maps = hash:/etc/postfix/tls_policy_maps
smtp_tls_note_starttls_offer = yes

message_size_limit = 20000000
smtpd_soft_error_limit = 10
smtpd_hard_error_limit = 15
smtpd_error_sleep_time = 20
anvil_rate_time_unit = 60s
smtpd_client_connection_count_limit = 20
smtpd_client_connection_rate_limit = 30
smtpd_client_message_rate_limit = 30
smtpd_client_event_limit_exceptions = 127.0.0.0/8
smtpd_client_connection_limit_exceptions = 127.0.0.0/8
smtpd_client_restrictions = check_client_access hash:/etc/postfix/access

maximal_queue_lifetime = 1d
bounce_queue_lifetime = 1d

smtpd_sasl_auth_enable = yes
smtpd_sasl_security_options = noanonymous
smtpd_sasl_type = dovecot
smtpd_sasl_path = private/dovecot-auth

virtual_mailbox_base = /mail
virtual_minimum_uid = 1000
virtual_uid_maps = static:1000
virtual_gid_maps = static:1000
virtual_transport = dovecot
dovecot_destination_recipient_limit = 1

sender_bcc_maps = hash:/etc/postfix/sender_bcc_maps
recipient_bcc_maps = hash:/etc/postfix/recipient_bcc_maps

compatibility_level=2
meta_directory = /etc/postfix
shlib_directory = /usr/lib64/postfix

#DKIM
milter_default_action = accept
milter_protocol = 2
smtpd_milters = inet:127.0.0.1:8891
non_smtpd_milters = inet:127.0.0.1:8891

Opendkim.conf

PidFile /run/opendkim/opendkim.pid
Mode    sv
LogWhy  yes
SendReports     yes
SoftwareHeader  yes
Canonicalization        relaxed/relaxed
Domain  mydomen.ru
Selector        mydomen
MinimumKeyBits  1024
KeyFile /etc/opendkim/keys/mydomen.private

OversignHeaders From
AutoRestart             Yes
AutoRestartRate         10/1h
Umask                   002
Syslog                  yes
SyslogSuccess           Yes
LogWhy                  Yes
Canonicalization        relaxed/simple
#ExternalIgnoreList      refile:/etc/opendkim/TrustedHosts
InternalHosts           refile:/etc/opendkim/TrustedHosts
KeyTable                refile:/etc/opendkim/KeyTable
SigningTable            refile:/etc/opendkim/SigningTable
Mode                    sv
PidFile                 /var/run/opendkim/opendkim.pid
SignatureAlgorithm      rsa-sha256
UserID                  opendkim:opendkim
Socket                  inet:8891@localhost

TrustedHosts

127.0.0.1
localhost
*.mydomen.ru

KeyTable

mydomen._domainkey.mydomen.ru mydomen.ru:mydomen:/etc/opendkim/keys/mydomen.private

SigningTable пробовал всяко

#*@example.com default._domainkey.example.com
*@mydomen.ru mydomen._domainkey.mydomen.ru
mydomen.ru mydomen._domainkey.mydomen.ru

Ключ публичный укоротил его

mydomen._domainkey      IN      TXT     ( "v=DKIM1; k=rsa; "
          "p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDDJS5UZ6XdtgQqVX2st1jXusf5/yGa7aJqeuLKN3yZYuqQIDAQAB" )  ; ----- DKIM key mydomen for mydomen.ru

Приватный наверно нет смысла выкладывать, пути проверены и ключи тоже

opendkim-testkey -d mydomen.ru -s mydomen -vvv -k /etc/opendkim/keys/mydomen.private

opendkim-testkey: using default configfile /etc/opendkim.conf
opendkim-testkey: key loaded from /etc/opendkim/keys/mydomen.private
opendkim-testkey: checking key 'mydomen._domainkey.mydomen.ru'
opendkim-testkey: key not secure
opendkim-testkey: key OK

alex_sim ★★★★
(06.08.21 07:50:49 MSK) автор топика
Последнее исправление: alex_sim 06.08.21 07:57:47 MSK (всего исправлений: 2)

Ответ на: комментарий от alex_sim 06.08.21 07:50:49 MSK

выводя статус opendkim

наконец то увидел то, что заслуживает внимания, странно вчера ничего подобного не было

 can't load key from /etc/opendkim/keys/mydomen.private: Permission denied
авг 06 10:08:04 mail.mydimen.ru opendkim[326311]: 333BD2018F3F7: error loading key 'mydomen._domainkey.mydomen.ru'

у меня root:root 600 а поди это не верно выставил opendkim:opendkim 600 ругани на права нет но подписи тоже нет :(((

пролез во вчерашний архив, там права на ключи root-root и никто не ругался

alex_sim ★★★★
(06.08.21 08:13:46 MSK) автор топика
Последнее исправление: alex_sim 06.08.21 08:30:09 MSK (всего исправлений: 3)

Ответ на: комментарий от alex_sim 06.08.21 08:13:46 MSK

в своем клиенте почтовом thebat в свойствах почтового ящика. Поставил галку Аутентификация SMTP (RFS-2554) использовать параметры (pop/imap)

и письма стали подписываться…. где на буржуйском форуме вычитал.. что обязательно надо…

А без этой галки никак? Обежать 70 пользователей ради галки….

:((

alex_sim ★★★★
(06.08.21 08:49:02 MSK) автор топика

Ответ на: комментарий от alex_sim 06.08.21 08:49:02 MSK

нехочется бегать галки расставлять. продолжаю эксперименты.

Пишу письмо с линукса, telnet 127.0.0.1 25 сам себе, и подписывается DKIM сигнатурой без всяких галок. Какие там галки где поставишь.

открываю со своего компа в сетке командник и делаю все тоже самое telnet 172.16.1.100 25 письмо не подписывается может всю сетку прописать и наступит счастье…

alex_sim ★★★★
(06.08.21 09:55:33 MSK) автор топика

Ссылка

Ответ на: комментарий от alex_sim 06.08.21 08:13:46 MSK

can’t load key from /etc/opendkim/keys/mydomen.private: Permission denied

chown -R opendkim:opendkim /etc/opendkim

opendkim-testkey -d mydomen.ru -s mydomen -vvv -k /etc/opendkim/keys/mydomen.private

команда запущена из под рута, так что нерелеватно.

может всю сетку прописать

нет, это вообще очень странное поведение

constin ★★★★
(06.08.21 14:36:04 MSK)

Ответ на: комментарий от constin 06.08.21 14:36:04 MSK

А если ip самого сервера в CIDR? Завтра поэкспериментирую из дома не мешая никому если что

alex_sim ★★★★
(06.08.21 17:12:35 MSK) автор топика
Последнее исправление: alex_sim 06.08.21 17:14:55 MSK (всего исправлений: 1)

Ответ на: комментарий от alex_sim 06.08.21 17:12:35 MSK

похоже, что ты «упростил» себе задачу, добавив в mynetworks свои локалки, чтобы не париться в локалке с аутификацией. Это часто встречается у новичков. и дальше ты проводишь свои тесты с opendkim без авторизации, верно?

если хочель так все оставить, то пропиши в трастедхост свою локалку. но это плохое решение. не надо пихать локадку в mynetworks. к примеру любой вася пупкин уборщик из локалки сможет послать всем письмо от гендира.

а тесты с oprndkim должны быть с авторизацией

когда ты делаешь это без авторизацией, то ты типа как внешний хост для opendkim, он не будет подписывать тебе ничего

constin ★★★★
(06.08.21 18:04:54 MSK)
Последнее исправление: constin 06.08.21 18:12:34 MSK (всего исправлений: 3)

Ответ на: комментарий от constin 06.08.21 18:04:54 MSK

похоже, что ты «упростил» себе задачу, добавив в mynetworks свои локалки, чтобы не париться в локалке с аутификацией. Это часто встречается у новичков. и дальше ты проводишь свои тесты с opendkim без авторизации, верно?

Да так и есть, тока я уже не новичек, скорее старичек 27 лет уже как локаладминю ☺ конечно без авторизации у меня есть с чем еще париться, гемору хватает со всем, не рафинированный постмастер, все остальное тоже мое.

к примеру любой вася пупкин уборщик из локалки сможет послать всем письмо от гендира.

Нда вы сильно отрваны от нашей действительности, уборщик у нас не сильно отличается от гендира и наоборот… и пароли рор у всех один, который знаю только я, он жутко секурный чтоб мне старичку не забыть, 😂 открою вам страшную военную тайну. Я и жнец и кузнец… у вас наверно все по другому.

Но за советы я вас искренне благодарю, правда спасибо, спросить вообще некого, одни эникей скорее всего пропишу «плохое» решение, на мой век уже хватит.

alex_sim ★★★★
(06.08.21 20:46:36 MSK) автор топика

Ответ на: комментарий от Twissel 05.08.21 14:51:10 MSK

Зачем вы удалили мой рассказ?

Владимир

anonymous
(06.08.21 23:57:50 MSK)

Ответ на: комментарий от anonymous 06.08.21 23:57:50 MSK

Примите на грудь наливки, я не модератор, все претензии к ним.

~~Twissel~~ ★★★★★
(07.08.21 00:07:33 MSK)

Ответ на: комментарий от Twissel 07.08.21 00:07:33 MSK

Но у вас пять звезд, я думал что это вы … Там роман о двух друзьях - Владимире и Антуане Твисселе. По дороге им попадается отбившийся от своих, от Золотой орды, маленький, красивый татарчонок. Его подобрали евреи и назвали Шульманом. Он увязался за двумя друзьями и их приключения становятся еще интереснее …
Во втором томе Владимира отправляют на каторгу, а Твисселя забирают в армию на 25 лет … Но они совершают побеги и ходят с топорами, верша правосудие. А Шульман готовим им самогонку.

Владимир

anonymous
(07.08.21 00:14:19 MSK)

Ссылка

Ответ на: комментарий от alex_sim 06.08.21 20:46:36 MSK

не рафинированный постмастер

ну, к слову, почта совсем не мое главное направление ( просто так вышло, что я знаю о ней много), я бы умер с голоду, если бы занимался ей, но мастерство не пропьешь :)

помогло?

constin ★★★★
(07.08.21 00:57:52 MSK)

Ответ на: комментарий от constin 07.08.21 00:57:52 MSK

помогло?

Чуть позже попробую и отпишусь, жена комп заняла, не с планшета же. Скоро она на финтес уйдет, а сын геймер еще спит, будет у меня окно ☺

alex_sim ★★★★
(07.08.21 04:38:13 MSK) автор топика

Ссылка

Ответ на: комментарий от constin 07.08.21 00:57:52 MSK

помогло?

Да все отлично, и ноги до задницы не сотру обегая юзверей. Я до этого пробовал свой IP вписать, но валилась ошибка, я как то про CIDR прочел, но не проникся.

Еще раз большое спасибо! Удачи!

alex_sim ★★★★
(07.08.21 05:35:46 MSK) автор топика

Ссылка

Ответ на: комментарий от Twissel 07.08.21 00:07:33 MSK

Примите на грудь наливки

По моему уже принято :))

alex_sim ★★★★
(07.08.21 06:22:36 MSK) автор топика

Ссылка

Ответ на: комментарий от constin 07.08.21 00:57:52 MSK

я опять с почтой посоветоваться, извините за назойливость.

Пролучаю отчеты dmarc от google, он отчитывается, что с моего ip и с моего домена mydomen.ru есть письма с header_from:mail.mydomen.ru и они не прошли skf и dkim, но с header_from:mydomen.ru все проверки pass. Не надо ли мне прописать spf и dkim для mail.mydomen.ru? чтоб проверки pass

Ну или я еще надумал что мне надо бы поменять helo на mydomen.ru ( без mail) smtpd_banner = mydomen.ru ( это помогло когда почтовик только представляется, но smtp_helo_name=mydomen.ru не возимело действия. Не понимаю как так, с моего ip разные header_from могут быть.

alex_sim ★★★★
(17.08.21 09:24:22 MSK) автор топика

Ссылка

31 мая 2023 г.

Ответ на: комментарий от constin 06.08.21 18:04:54 MSK

Я тот самый новичок.Аналогичная ситуация с сетями. У нас в my_network прописаны свои локалки на каждый отдел, потому что были какие-то проблемы с почтой во вне(не помню что именно) и действительно можно отправить письмо будучи васей пупкиным от гендира. Каким образом это можно исправить?

AcRonFSYS
(31.05.23 09:15:13 MSK)