а где этот open-dkim настроен ?

А почтовик пользуется этим open-dkim ?

Смотри логи обоих.

но в письмах нет отметки dkim

Отметки о проверке dkim или самой dkim-подписи? Во втором случае open-dkim видимо настроен неправильно. В первом: как давно ты добавил DKIM-запись в доменную зону?

Отметки о проверке.

1,5 дня назад.

Настраивал по этой инструкции.

Результат проверки по check-auth@verifier.port25.com neutral. Пошел смотреть логи.

opendkim-testkey

opendkim-testkey: 'mail._domainkey.example.com' unexpected reply class/type (-1/-1)

Ответ вроде стандартный для этой утилиты.

Подскажи пожалуйста хороший мануал по настройке шифрования исходящих писем для postfix

Шифрования исходящих? Может всё-таки DKIM-подписи?

Нет, это немного офтоп. Именно исходящих, чтобы Гмыло не показывало свою фигню вроде «не сохранять», «не зашифровано» и т.д. Интересует такой мануал для roundcube. С подписью пока подожду дня три.

А, чего? Эт чё, пока я спал попсовые почтовики научились в end-to-end шифрование? Может речь просто про TLSнутое соединение с MX-сервером получателя?

С подписью пока подожду дня три.

За полтора дня DNS должно было отработать. Дальше ждать смысла нет.

Я обновил заново запись. Когда настраивал для другого сервера Почту для домена от Яндекса, то он начинал подписывать письма (судя по gmail) только через 3 дня. Про почтовики понял. Я думал, что они умеют уже. Пока все.

nslookup ее уже видит, но в письмах нет отметки dkim.

Хедеры в студию

Прочитал тред, ничерта не понял. Нужно шифровать почту или все таки DKIM?

время обновления txt-записи? до 24-и часов.

Скиньте селектор, может у вас ошибки?

шифровать почту

Это пока не главное. DKIM.

Тренируюсь на кошках :-)

mail._domainkey.mysite.co.ua v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDLddpRkHBGk8WWvOmMpfBzQc7fWoQ7/wu+EIGgG2NszTKiUzfbU6C9NbYmQlRyr4a3iEC7VRtjxDCXhY1t5ReDvmniZymTE8t+LJ8r644Fb9So90YdRiDf/peIBGC092wtHxi1U93El0UX8FmKLGQr3mbwSd6vG8JB7vhXpGmk1QIDAQAB

Домен mail.mysite.co.ua

скиньте header исходящего письма, как вас попросили.

Так а где тут DKIM подпись? Должен быть хэдер DKIM-Signature

3-5 секунд, как и для любой нормальной TXT записи.
Отметка в письмах к ней отношения не имеет.
Заголовок смотри и сервер разбирай.

Ну вот, его нет. Откуда начинать раскопки?

С конфига Postfix и OpenDKIM. Либо OpenDKIM не подписывает письма которые ему скормил на подпись postfix, либо postfix не скармливает письма OpenDKIM-у.

Я ведь специально сразу спросил чего в письмах нет, отметки о проверке, или самой подписи. Ты ответил что отметки о проверке. Заголовок DKIM-Signature это не отметка о проверке, это и есть подпись письма. Подписи нет, проверять нечего. Посмотри как оно выглядит в исходниках любого письма с попсового почтового сервиса

Понял.

Вот, что в логах постфикса

error: unsupported dictionary type: inet

Давай его конфиг. И конфиг opendkim-а за одно (основной и /etc/default/opendkim)

Конфиги

https://pastebin.com/Bj459AG9

https://pastebin.com/ZESFrnw3

https://pastebin.com/CEJrmumA

https://pastebin.com/FHh2rUZP

1,5 дня назад.

Side note: задержки DNS могут быдь до 72 часов (thumb rule).

Вот потому я и не тороплюсь.

Параметры milter-а почему-то оформлены как часть smtpd_end_of_data_restrictions. Не уверен что posfix нормально это распарсит (глазом во всяком случае парсить неудобно)

smtpd_end_of_data_restrictions =
    permit_mynetworks,
    permit_sasl_authenticated,
    reject_multi_recipient_bounce,
    permit
    milter_default_action = accept
    milter_protocol = 2
    smtpd_milters = inet:localhost:12301
    non_smtpd_milters = inet:localhost:12301

smtpd_end_of_data_restrictions =
    permit_mynetworks,
    permit_sasl_authenticated,
    reject_multi_recipient_bounce,
    permit

milter_default_action = accept
milter_protocol = 2
smtpd_milters = inet:localhost:12301
non_smtpd_milters = inet:localhost:12301

Ну это какие-то радикальные случаи (которые, вполне вероятно, включают наркомански настроенные кэширующие DNS сервера). На практике можно закладываться на сутки как на максимальный строк. А новые записи как-правило распространяются за считанные минуты.
Впрочем в данном случае до DNS-а дело вообще не дошло

Спасибо за помощь, но пока все также. Грешу либо на протухший dkim в debian 7, либо на наркоманию dns. Завтра попробую переехать на другие dns-сервера. Посмотрю, что там будет.

У тебя письма не подписываются. При-чём тут DNS? Что-бы подписывать письма никакие записи в DNS вообще не нужны, они нужны что-бы проверять подпись.
При-чём тут протухший OpenDKIM, если у тебя posfix в логах жалуется на те самые директивы которыми ты этому OpenDKIMу почту передаёшь на подпись?
Сделай уже TUPNYAK_MODE OFF и разберись где ты запятую в конфиге постфикса пропустил. Похоже у тебя там просто синтаксическая ошибка и конфиг неверно парсится. Ну или OpenDKIM не там слушает не то куда ты ему шлёшь.
Или уже дай мне доступ к серверу и килорубль-другой яндекс деньгами, посмотрю чего там у тебя

Ну, ок

Радует только, что я не одинок https://www.opennet.ru/openforum/vsluhforumID1/96371.html

До кучи https://unix.stackexchange.com/questions/74477/postfix-smtpd-warning-connect-...

У тебя OpenDKIM слушает TCP соекет, а не юниксовый, не твой случай.
Вообще вариант с unix-сокетом кажется мне более православным, но нужно дополнительно разбираться с chroot-ом постфикса и правами на сокет

Дневник олимпиады.

Postfix в упор не видит сокета при любом значении umask. Попробовал по сокету.

umask тут при-чём?
umask задаёт дефолтные права на новые файлы. И где ты его задаёшь?
Проще для тестирования вручную выставить нужные права сокету. А ещё проще (для тестирования) использовать tcp сокет, это исключит и геморрой с чрутом, и геморрой с правами

Ну как бы в конфиге opendkim есть параметр Umask и там циферки можно менять ;-) Зачем он тогда? Но, видно, что проще взять другого демона DKIM и не сношать мозг людям и себе :-)

Да блин. То у тебя DNS был виноват, то тухлые пакеты, теперь opendkim…
Ты конфиг postfix-а поправил как я тебе сказал? Постфикс после этого перестал ругаться на unsupported dictionary type?

Нет, не перестал. Потому и начал крутить вариант с сокетом.

Похоже это известная фишка на которую все по барабану https://www.developpez.net/forums/d1524496/systemes/linux/distributions/debia...

Там Connection refused, а у тебя unsupported dictionary type: inet

Ладно. Забей пока. Будет у меня неделя нерешенных тредов на ЛОРе. Сам еще покопаю.

Попробуй по свободе, получится у тебя настроить postfix + opendkim на Дебиан 7.

Будем считать, что я не осилил. Пока продолжать не буду, это не рабочая задача, а разминка.

У тебя постфикс в чруте сидит. В master.cf для пробы поставь «n» под «chroot» и попробуй ещё раз.

Включи OpenDKIM'у «MilterDebug».

Вижу «LogWhy» включён, что-то говорит в логах?

а можно netstat -nltp посмотреть?

По нетстату opendkim добросовестно слушал порт. Постфикс все также ругался на вполне легальную конструкцию с inet.

Пока снес opendkim. Через пару дней вернусь к этому вопросу. Пробовал сегодня и сокет для чрута. Один хрен: или не видит сокета, или при tcp ругается на неизвестный словарь. Имхо, домовые какие-то :-)

Сокет, при включенном чруте, правильно понимаю? В общем, если проблемы останутся - возвращайся, поможем