Время активации записи dkim

Ну да. Т.е. сокет был создан там же где и сокет для saslauthd в /var/spool/postfix/var/run/opendkim/opendkim.sock. При любых правах на сокет ситуация: «Суслик есть, но я его не вижу» :-)

Меня тоже немного смущает, что сокет не на локалхосте. Поэтому я нетстат спрашивал

Я прописывал 127.0.0.1 напрямую, тоже самое.

Надо пару дней отдохнуть от этой темы. А сейчас КПД уже как у паровоза.

Вот еще хорошая инструкция, оставлю здесь для истории

https://tty1.net/blog/2014/dkim-with-postfix_en.html

Так-с! После того, как расскоментировал в конифиге постфикса (master.cf) вот этот блок

submission inet n       -       -       -       -       smtpd
  -o syslog_name=postfix/submission
  -o smtpd_sasl_auth_enable=yes
  -o smtpd_client_restrictions=permit_sasl_authenticated,reject
  -o milter_macro_daemon_name=ORIGINATING

Ошибка unsupported dictionary type: inet исчезла, но подпись пока так и не появилась :-) Работает с tcp-сокета, как можно видеть.

Но лучше всего, наверное будет взять дефолтный конфиг постфикса и уже от него плясать.

Короче вместо связки, которую настраивал по инструкциям из этой темы поставлю iRedMail.

Всем спасибо за участие в топике.

Ну можешь меня поздравить :-)

На свежую голову решил свой вопрос.

Во-первых, дело было в chroot'е.

Во-вторых, в файле, на который указывает директива InternalHosts напрямую указал ip-шник сервака.

Ну и наконец сильно помогли, на самом деле, кое-какие вредные советы отсюда

Молодец. А теперь снеси систему, поставь Debian 9 и сделай всё то-же самое в нём (:

А смысл, чтоб с systemd помучаться?

—Тебя как, сразу прикончить, или желаешь помучиться?

—Лучше, конечно, помучиться.

Так все-таки открой тайну, чем так примечателен Debian Stretch? Тем, что мануалов готовых нет?

Тем что он просто некрофильский, а не ультраубернекрофильский

Ага, дык это камешки в огород Debian Wheezy, да? Некоторые вон до сих пор сидят на CentOS 6 и не зажужжали :-)

Шестой Цент это вроде old stable, а wheezy это уже считай old-old-stable (девяточка считай уже релизнулась). К тому-же в Центе принято тянуть нужный свежий софт из различных околовасянский репозиториев, так-что обновлением самого дистра не сильно морочатся (ещё и пятый вроде где-то работает).

P.S. у меня самого почтовый сервер вообще на squeeze работает. Но это плохой пример для подражания (да и он так от мира изолирован что там можно хоть первослаку использовать), перенесу на stretch как руки дойдут.

P.P.S. у wheezy остался год поддержки, и та только LTS

ОК, пойду читать про релиз «девятки», когда он там запланирован.

O, а теперь о шифровании. Этой статьи достаточно для базовой настройки?

Ну и плюс, чтобы постфикс слушал 587-й порт.

Это про шифрование соединений, а не почты. И про него я ещё сам не собрался покурить. Не догоняю как там могут использоваться самоподписанные сертификаты, в чём профит? Разве-что от пассивного прослушивания поможет.

Это про шифрование соединений, а не почты.

Я это и имел ввиду. Просто действительно путаюсь в терминах.

Как шифровать соединение в roundcube я тоже не разобрался толком. Ну, т.е. в конфиге прописал, но оно нифига не работает.

Соединение между RC и своим почтовым сервером? Его-то зачем шифровать? Оно обычно и так всё на одном хосте. Ну или в доверенной сети, или можно какой-то шифрованный тоннель поднять (VPN, SSH). Самая писечка это соединения с другими серверами

Ясно, спасибо.

Не догоняю как там могут использоваться самоподписанные сертификаты, в чём профит?

Ну можно туда и Let's Encrypt забабахать, но опять же, смысл?!

Что-бы человек-посередине не мог притвориться твоим сервером (или сервером gmail) и читать/модифицировать письма которые ходят между твоим сервером и другими серверами

Еще вопрос к тебе из спортивного интереса. Что это за формат подписи DKIM

DKIM-Signature: =?UTF-8?B?dj0xOyBhPXJzYS1zaGExOyBjPXJlbGF4ZWQ7IGQ9ZXgu?=
    =?UTF-8?B?dWE7IGg9ZnJvbTp0bzpzdWJqZWN0Om1lc3NhZ2UtaWQ6ZGF0ZTptaW1lLXZl?=
    =?UTF-8?B?cnNpb246Y29udGVudC10cmFuc2Zlci1lbmNvZGluZzpjb250ZW50LXR5cGU7?=
    =?UTF-8?B?IHM9ZXg7IGJoPUV4S2ZNQ0JmblhWTGdBY21wUG1sZ1VXYWg2QT07IGI9RGhV?=
    =?UTF-8?B?OUtMdWxDZmJoeUdXekpQYlVCSWZ3S3l1YzFHQnI3OHJ5UmZWa2p2MG9oWGQy?=
    =?UTF-8?B?b2Voc1l6eG10VHBWUkJkZFNhYzQ4cFEwU0hsbTlGc2NoemZBYTNDNkxQdnFm?=
    =?UTF-8?B?aWx3RTVkaTdQeVdVZ0dzWW1nNVYrdkxNUkxwSjRBVlRVUzNSNlBiM2U3VlhG?=
    =?UTF-8?B?cFl4UW5VOXB3TDVCOGkzSU93eHZhWjJXaGJ2bXN1VlFNPQ==?=

Вот наткнулся на такой у одного нашего местечкового недопочтовика :-)

Не знаю как этот формат называется, но так в письмах иногда кодируют тему (да вроде и тело письма) если они выходят за пределы ASCII. Видимо другие заголовки так тоже кодируют.
Убери " =?UTF-8?B?" в начале и "?=" в конце строк, оставшееся соедини в одну строку и декодируй как base64

v=1; a=rsa-sha1; c=relaxed; d=ex.ua; h=from:to:subject:message-id:date:mime-version:content-transfer-encoding:content-type; s=ex; bh=ExKfMCBfnXVLgAcmpPmlgUWah6A=; b=DhU9KLulCfbhyGWzJPbUBIfwKyuc1GBr78ryRfVkjv0ohXd2oehsYzxmtTpVRBddSac48pQ0SHlm9FschzfAa3C6LPvqfilwE5di7PyWUgGsYmg5V+vLMRLpJ4AVTUS3R6Pb3e7VXFpYxQnU9pwL5B8i3IOwxvaZ2WhbvmsuVQM=

Интересно, зачем же в base64 ?

beastie, ничего не скажешь?!

К чести CentOS 7 opendkim там поднимается с полпинка :-)

К чести Debian 9, то-же самое. Ну кроме прикола с чрутом и сокетом, но это прикол вполне понятный, если не забывать что postfix чрутится

Это к тому, что странно то, что нужно в signingtable в Wheezy домен указывать без символов *@ просто

domain1.com default._domainkey.mydomain.com

А в остальных дистрах с этим вроде все ОК. Вот, что странно.

А с чего-бы вдруг задавать вместо домена маску для email-адреса?
Домен это domain1.com, а *@domain1.com это уже не домен. Может в новых версиях opendkim можно выбирать ключ по маске адреса (в каких-то случаях это видимо имеет смысл, раз это реализовали), но где Debian Wheezy, а где актуальные версии софта… Да и зачем использовать маска там где достаточно тупого сравнения строк?

А с чего-бы вдруг задавать вместо домена маску для email-адреса?

Вот именно, что в CentOS 7 и, вероятно, старших версиях Дебиан задается маска *@

Судя по ману в Debian 9 оно там умеет и самку и домен. У меня просто домен используется. Вообще там похоже можно всякие креативные непотребства творить с выбором ключа

Кстати, если не создавать файлик trustedhosts, то opendkim поднимается с полпинка и под Debian 8.