我正在build立一个基于exim4的邮件系统。 这个系统实现DKIM签名和检查(等等)。 签名似乎工作没有问题,但检查不起作用,exim4抱怨我的TXTlogging的语法携带我的dkim公钥: 2014-02-02 22:37:31 1WA5fP-0004Y4-E2 DKIM: d=middle.earth s=a9d04665528b593d263a6e5256648c99 c=relaxed/relaxed a=rsa-sha256 [invalid – syntax error in public key record] 我正在使用一个2048位长的RSA密钥在邮件中继级对我的邮件进行签名(这工作正常,而且通过这个服务器传递的邮件中确实有DKIM头)。 问题似乎是绑定(我的DNS服务器为该区域)不支持区域文件中长度超过255个字符的logging。 所以我select了如下图所示的分割logging,正如在非常值得信赖的网站zytrax.com中所描述的那样: … a9d04665528b593d263a6e5256648c99._domainkey IN 1800 TXT ("k=rsa,p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAz2/ZfhxSI/A" "bqgh0amM8ylrlosirWeKShUhq7fg12aYmRwOqq9hIzO0Fcz1BzfgHVu6HU++rC5" "QoUK0JQK/nk4jwkDgvG2di2ZYmAvEbY/VeiK1x/TG0p1Iczr2k6Bj0gEAb/YGD2" "YbwrwAi4bDXwoPsYuuNn9TB3jjyWKu/dvOsqhff1/4Wc+FkOi0ClvgrXiklN28X" "TLjyjSyU794ntIoegXxrfwcwkhfPMvuqcnhfIC0Z8L71M4WR4SoHyNHVfBtNlUv" "VNROiXlMxtxnNQvfViSwz6LC8bYIxeAba3hSXPTChKu3qZtfR0o3jFwEWAfLQdg" "Ixler0jMEoAyJmfQIDAQAB") 完整的区域文件可以在这里find: http : //pastebin.com/GDE5XA2M 有了这个configurationexim抱怨上面的错误。 如果我尝试手动解决我的dkimlogging这里是我得到: ;; ANSWER SECTION: a9d04665528b593d263a6e5256648c99._domainkey.middle.earth. 1800 IN TXT "k=rsa,p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAz2/ZfhxSI/A" "bqgh0amM8ylrlosirWeKShUhq7fg12aYmRwOqq9hIzO0Fcz1BzfgHVu6HU++rC5" "QoUK0JQK/nk4jwkDgvG2di2ZYmAvEbY/VeiK1x/TG0p1Iczr2k6Bj0gEAb/YGD2" "YbwrwAi4bDXwoPsYuuNn9TB3jjyWKu/dvOsqhff1/4Wc+FkOi0ClvgrXiklN28X" "TLjyjSyU794ntIoegXxrfwcwkhfPMvuqcnhfIC0Z8L71M4WR4SoHyNHVfBtNlUv" "VNROiXlMxtxnNQvfViSwz6LC8bYIxeAba3hSXPTChKu3qZtfR0o3jFwEWAfLQdg" "Ixler0jMEoAyJmfQIDAQAB" 这对我来说看起来并不完全正确,我可以想象,这样一个输出会让exim迷失方向。 […]
我即将在我的域上实现DKIM签名,但找不到首先启动哪一个的信息:发布DNS或开始签名密钥。 更好的解释: 考虑到DNS需要传播的时间,所以: 如果我先开始签名 ,则在看到我的DNS条目之前,人们会看到我已签名的邮件。 如果我先发布 ,人们会看到我的DNS条目,但消息不会被签名。 哪一个不会导致邮件被拒绝?
我在debian服务器上设置了一个包含dovecot / postfix的邮件服务器。 我不发送商业邮件或通讯 。 我们只有4个用户 ,没有人发送垃圾邮件。 我们只发送古典邮件(没有大的图片或多个链接)。 我们只是用它来沟通 。 我在互联网上做了很多search,以确保我的服务器configuration正确。 我将DKIM , DMARC或SPF (发件人ID)loggingconfiguration到我的DNS,并使用一些在线服务进行testing。 我也configuration了rDNS 。 我尝试许多网站,如mxtoolbox或邮件testing仪,如[email protected],似乎一切都好 ========================================================== Summary of Results ========================================================== SPF check: pass DomainKeys check: neutral DKIM check: pass DKIM check: pass Sender-ID check: pass SpamAssassin check: ham ========================================================== Details: ========================================================== 但是当我发送邮件到hotmail.com(无论是Gmail或雅虎)他们去垃圾邮件文件夹。 在Hotmail邮件的来源: x-store-info:4r51+eLowCe79NzwdU2kR0zqpsRfiBoyfFIyamYaTKuJXFW11IA+TxwYKgBCKoLj3VA936YFMVKtQLWjufbx/jkrlwmfFEprWdNKkyT50jZL5QKpm4l9xtpGVUwypPvAGXuJZ0/umKs= Authentication-Results: hotmail.com; spf=pass (sender IP is 198.245.50.159; identity […]
如何在单个服务器上使用OpenDKIM和多个域名? 我拥有3个域名,我有一个运行postfix的服务器来发送邮件。 我如何使用OpenDKIM? 我能为所有3个域名使用相同的密钥文件吗? 我是否必须为每个域名创build一个TXTlogging?
花了2天的时间试图告诉Exim在我的Debian8服务器上添加DKIM签名。 没有成功。 已经阅读了很多的方法,论坛,但没有任何可能的解决scheme在我的服务器上。 已经生成的关键: cd /etc/exim4/ openssl genrsa -out example.com-private.pem 1024 -outform PEM openssl rsa -in example.com-private.pem -out example.com.pem -pubout -outform PEM 有creaded文件 00_local_macros 在 /etc/exim4/conf.d/main/ 具有以下内容: DKIM_CANON = relaxed DKIM_SELECTOR = 20160604 DKIM_DOMAIN = ${lc:${domain:$h_from:}} DKIM_PRIVATE_KEY=${if exists{/etc/exim4/${dkim_domain}-private.pem} {/etc/exim4/${dkim_domain}-private.pem}} 已经发布了一个DNS文本的logging: 20160604._domainkey.example.com 公钥内容: k=rsa;p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDRpHpC2q1ycmaqdnYlf5WI5g7ZyiXybd6EFdOqk35Sl7ZNfSeZelbyxqgLN+BzHpbp4Z4JDtKLSgBwugCePhl2xVDtQvO9XfqwQLMO5PAOONCLTwoGYrViwf5ki2zIqS2uN5MpuRTKW/IiK3CtRId+w5gjdACAvkwZWBstKEDrQQIDAQAB # update-exim4.conf # service exim4 restart 甚至重新启动服务器。 所有电子邮件仍然没有DKIM签名到达。 试图添加行: dkim_domain = ${lc:${domain:$h_from:}} […]
一个问题,如果这是正常的DKIM行为。 从mydomain发送电子邮件时,它添加了一个签名,它看起来不错。 但是当收到来自外部的电子邮件,说outlook.com,我得到下面: 是“未authentication”的正常行为? 它确实表示DKIMvalidation成功,但是我稍微担心它之前的消息。 Aug 13 09:39:37 www opendkim[13789]: 50CDC63F63: mail- oln040092065020.outbound.protection.outlook.com [40.92.65.20] not internal Aug 13 09:39:37 www opendkim[13789]: 50CDC63F63: not authenticated Aug 13 09:39:37 www opendkim[13789]: 50CDC63F63: failed to parse authentication-results: header field Aug 13 09:39:37 www opendkim[13789]: 50CDC63F63: DKIM verification successful Aug 13 09:39:37 www postfix/qmgr[14386]: 50CDC63F63: from= <[email protected]>, size=5304, nrcpt=1 […]
我只是configurationopendkim和后缀,它被认为是签署我的电子邮件,但它没有。 我用/ usr / sbin / opendkim-testkey来testing这些密钥,这似乎与他们一致,但是我发送给[email protected]的邮件却一直在说: ========================================================== Summary of Results ========================================================== SPF check: pass DomainKeys check: pass DKIM check: neutral Sender-ID check: pass SpamAssassin check: ham 有任何想法吗? 我得到了像这样的postfixconfiguration文件 : # OpenDKIM milter_default_action = accept milter_protocol = 6 smtpd_milters = , inet:127.0.0.1:8891, inet:127.0.0.1:12768 non_smtpd_milters = $smtpd_milters 我没有检查我的日志文件吨,没有什么似乎是错的。 我正在使用Centos 6。 这也是我的opendkim.conf ## BASIC OPENDKIM CONFIGURATION FILE […]
当postfix尝试连接到unix套接字为opendkim时,我得到拒绝错误,实际的错误: Sep 24 15:41:43 service-a-4 postfix/cleanup[17414]: warning: connect to Milter service unix:var/run/opendkim/opendkim.sock: Permission denied 根据postfix文档 ,postfix默认运行在“chroot mode”,所以postfix被locking到/ var / spool / postfix /,根据postfix文件 ,如果运行在“chroot mode”,所有milter(socket)引用是相对的(到/ var / spool / postfix)。 所以我的configuration如下所示: # /etc/opendkim.conf Socket local:/var/spool/postfix/var/run/opendkim/opendkim.sock # /etc/postfix/main.cf smtpd_milters = unix:/var/run/opendkim/opendkim.sock 现在,当我尝试发送testing电子邮件时,我得到权限被拒绝的错误,所以我尝试了一些权限testing: # Correctly lists the socket file sudo su -s /bin/bash postfix -c "ls /var/spool/postfix/var/run/opendkim/opendkim.sock" […]
我在我们的域上设置了电子邮件身份validation,以允许使用我们的电子邮件服 我的理解是,DNSlogging需要有任何; 逃脱,例如,\; 我只是想确保所有 应该逃脱。 为此,我想确保我明白为什么需要转义。 也就是说,如果是B / C 意味着什么特别的东西,那么我怎么知道什么时候不应该逃跑,而应该有特殊的意义呢? 或者说,它在DNS TXTlogging中具有特殊的(和不同的)含义,而对于DKIM设置的特殊用途,我们不希望它具有这种特殊的含义(也许读取logging的人会应用这个值) 此外,ESP告诉我,DNS“正在添加\”(等待确认他们是否不明白)。
M³WAAGDKIM密钥轮换最佳实践文档(pdf)推荐使用“足够”随机的DKIMselect器名称,以便通过浏览DNS无法猜测。 一个字面的引文: 4.3密钥select器命名scheme 定义DKIM密钥select器的命名scheme,这对于取证分析是有意义的,并且是足够随机的,所以通过浏览DNS不能轻易猜出密钥。 注意:select器命名scheme也应该被devise来减轻攻击者可以很容易地预测未来select器名称并检索相关密钥的风险。 有关发布密钥以供将来使用的过程的说明,请参阅第5节 这可能与短的512位RSA密钥有关,但对于我来说,对于更长的2048位RSA密钥似乎并不合适。 DNS拥有非公开密钥,可以通过阅读一个签名邮件来发现。 安全性很低,安全性很低 为什么一个随机DKIMselect器的名字会更好,那么遵循他们的build议是否合理呢?