OpenDKIM ne signe pas de courrier


9

J'ai donc du mal à faire signer OpenDKIM mes messages, mais je frappe un mur quant à ce qui pourrait le provoquer:

Sur Debian Jessie, avec Postfix et OpenDKIM.

Mon /etc/opendkim.conf:

Syslog                  yes
SyslogSuccess           Yes
LogWhy yes
UMask                   002
Canonicalization        relaxed/simple
Mode                    sv
SubDomains              no
#ADSPAction             continue
AutoRestart             Yes
AutoRestartRate         10/1h
Background              yes
DNSTimeout              5
SignatureAlgorithm      rsa-sha256
UserID                  opendkim:opendkim
Socket                  inet:12301@localhost
KeyTable        refile:/etc/opendkim/KeyTable
SigningTable    refile:/etc/opendkim/SigningTable
ExternalIgnoreList      refile:/etc/opendkim/TrustedHosts
InternalHosts   refile:/etc/opendkim/TrustedHosts

Mon /etc/opendkim/KeyTable:

default._domainkey.example.com example.com:default:/etc/opendkim/keys/example.com/default.private

Mon /etc/opendkim/SigningTable:

example.com default._domainkey.example.com

J'ai essayé la variante suivante sur SigningTable, mais cela a désactivé mon SMTP:

*@example.com default._domainkey.example.com

Ne pas commenter la ligne suivante dans mon /etc/default/opendkim:

SOCKET="inet:12345@localhost

Ayez les éléments suivants dans mon /etc/postfix/main/cf:

# DKIM
milter_default_action = accept
milter_protocol = 6
smtpd_milters = inet:localhost:12345
non_smtpd_milters = inet:localhost:12345

C'est ce qui opendkim-testkey -d example.com -s default -vvvrevient:

opendkim-testkey: using default configfile /etc/opendkim.conf
opendkim-testkey: checking key 'default._domainkey.example.com'
opendkim-testkey: key not secure
opendkim-testkey: key OK

Il ne semble pas y avoir d'erreurs dans mes journaux concernant opendkim, mais lorsque j'essaie de vérifier la signature, mail-tester.com ne signale aucune signature DKIM, check-auth@verifier.port25.com renvoie une vérification DKIM: aucune.

Toute aide pour identifier ce qui me manque serait très appréciée. Merci.

Réponses:


7

Problèmes que je vois:

  • Votre utilisation de refile
    la documentation :

    Si la chaîne commence par "refile:", le reste de la chaîne est supposé spécifier un fichier qui contient un ensemble de modèles, un par ligne, et leurs valeurs associées. Le motif est considéré comme le début de la ligne du premier espace blanc et la partie après cet espace est prise comme valeur à utiliser lorsque ce motif est mis en correspondance. Les motifs sont de simples motifs génériques, correspondant à tout le texte, sauf que l'astérisque ("*") est considéré comme un caractère générique. Si une valeur contient plusieurs entrées, les entrées doivent être séparées par des deux-points.

    Le KeyTable ne suit pas ce modèle, il n'a donc pas besoin du refilemot - clé. Peut-être que ça ne fait pas mal, je ne sais pas. Je ne l'utilise pas dans ma configuration là-bas, et cela fonctionne pour moi.

    KeyTable        /etc/opendkim/KeyTable
    SigningTable    refile:/etc/opendkim/SigningTable
    
  • Votre KeyTable

    Les lignes sont censées commencer par le domaine, pas par l'enregistrement de clé de domaine:

    example.com example.com:default:/etc/opendkim/keys/example.com/default.private
    
  • SigningTable

    La table de signature doit mapper les adresses e-mail au domaine. Ça devrait ressembler à ça:

    *@example.com example.com
    

    Ici, le refilemot-clé est nécessaire.

Je ne sais pas ExternalIgnoreListet InternalHosts, comme je ne les utilise pas. Le reste de la configuration me semble bien.


Je ne pense pas que vos commentaires KeyTable / Signingtable soient corrects; la ligne commence par le nom de la clé, qui dans votre cas est maintenant example.com. Le nom indiqué default._domainkey.example.comest parfaitement sensé. SigningTable mappe ensuite les adresses e-mail aux noms clés, pas au domaine.
TacoV
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.