LINUX.ORG.RU
ФорумAdmin

Postfix, opendkim, Socket local и TrustedHosts

 , ,


0

1

Установил opendkim, настроил, подписывает.

По умолчанию он использует сетевой сокет. Счёл что локальный сокет лучше. Указал, подписывать перестало. В логах opendkim приводится не 127.0.0.1 а ip адрес отправителя и отказывается как not internal. Всё правильно, в TrustedHosts по умолчанию разрешены только локальные адреса.

Насколько я понимаю, для локального сокета ограничения по адресам уже не имеют смысла и можно разрешать всё. Это так, или я что то упускаю?

★★★★★
Как настроить сборку загрузки траффика с mikrotik?
Проблема с открытием графических приложений

Будешь смеяться, но, чтобы не было хлопот с настройкой, я просто удаляю TrustedHosts. Не пользуюсь им. Настраивал тоже на Дебиане возни было много.

По сабжу sudo cast MrClon

Twissel ★★★★★
()
Последнее исправление: Twissel (всего исправлений: 1)

Что-то я не вкуриваю. У тебя проблема с подписью или проверкой подписи?
TrustedHosts это, на сколько я понимаю, адреса входящим письмам с которых разрешено проваливать проверку dkim без последствий. Получает письма в любом случае не opendkim а postfix (или что там у тебя), а уж как он будет общаться с opendkim уже не важно.

P.S. на всякий случай: до opendkim письма вообще доходят? Есть популярны грабли с opendkim+postfix+unix_socket (postfix рботает в чруте, из-за чего очевидный пусть к сокету оказывается неверным)

MrClon ★★★★★
()
Ответ на: комментарий от Twissel

Не очень понятно для каких он случаев. Если сокет слушает 127.0.0.1 а транспорт не релей то никто вроде и не должен иметь возможность подписать произвольное письмо. А если сокет локальный то тем более. Но с другой стороны зачем-то он нужен...

Пока вернул сетевой сокет. Но у меня два сервера, один мало используемый (на нём сначала пробовал) а второй рабочий. И вот первый стал подписывать а второй по прежнему получает ip адреса клиентов и даёт отлупы. Мне уже даже больше интересно, от чего зависит какой адрес отдаёт milter. Но завтра уже буду смотреть ещё раз, сейчас толком ничего не вижу.

И, да, у меня не дебиан, центось, но это думаю не имеет значения.

sin_a ★★★★★
() автор топика
Ответ на: комментарий от MrClon

проблема с подписью или проверкой подписи?

Хочу подписывать. Проверять пока не имею большой потребности. А у одного знакомого сервера гмайл не принимает почту, пора разбираться с этими дкимами и дмарками, дкимы и дмарки сами с собой не разберутся...

Opendkim на одном сервере подписывает если работает через сетевой сокет. При этом в заголовках появляется соответственная запись. Про чрут в курсе, у меня вроде выключен. Привык к изолированным контейнерам и в заданной системе всё равно ничего кроме своей задачи нет.

На другом сервере при попытках подписать письмо в логах opendkim появляются записи об обращении с адресов клиентов, не с 127.0.0.1, и естественно даётся отказ.

Серверы очень похожи, завтра попробую ещё раз сравнить конфиги.

TrustedHosts это, на сколько я понимаю, адреса входящим письмам с которых разрешено проваливать проверку dkim без последствий.

Насколько я понял, у него две функции. И вторая — это чьи письма можно подписывать.

sin_a ★★★★★
() автор топика
Ответ на: комментарий от Twissel

Да, это есть в «похожих темах» и уже видел.

sin_a ★★★★★
() автор топика

Сокет связи мильтера и постфикс никак не связан логически с параметром client ip, который передается в мильтер на стадии смтп сессии как клиент смтп сервера. О чем возня? :)

anonymous
()
Ответ на: комментарий от anonymous

Что имеется в виду в этом логе? 

Sep 15 18:40:35 mail.domain.ru opendkim[234]: 05F84813F2: [212.92.97.53] [212.92.97.53] not internal
Sep 15 18:40:35 mail.domain.ru opendkim[234]: 05F84813F2: not authenticated
Sep 15 18:48:18 mail.domain.ru opendkim[234]: E4891813F2: nicolatesla.ru [85.143.174.205] not internal
Sep 15 18:48:18 mail.domain.ru opendkim[234]: E4891813F2: not authenticated
Sep 15 18:48:50 mail.domain.ru opendkim[234]: C7529813F2: nicolatesla.ru [85.143.174.205] not internal
Sep 15 18:48:50 mail.domain.ru opendkim[234]: C7529813F2: not authenticated
Sep 15 19:24:44 mail.domain.ru opendkim[234]: 12EAC813F2: macpsp.ru [185.127.24.235] not internal
Sep 15 19:24:44 mail.domain.ru opendkim[234]: 12EAC813F2: not authenticated
Sep 15 19:25:19 mail.domain.ru opendkim[234]: 36AE2813F2: macpsp.ru [185.127.24.235] not internal
Sep 15 19:25:19 mail.domain.ru opendkim[234]: 36AE2813F2: not authenticated

При попытке отправки появляется запись с адресом клиента.

sin_a ★★★★★
() автор топика
Ответ на: комментарий от sin_a

От интернал подписывать. От нот интернал проверять, ставить аус хидер и опционально блочить

anonymous
()
Ответ на: комментарий от MrClon 
# grep '^[^#]' /etc/opendkim.conf 
PidFile /var/run/opendkim/opendkim.pid
Mode    s
Syslog  yes
SyslogSuccess   yes
LogWhy  yes
UserID  opendkim:opendkim
Socket  inet:8891@localhost
Umask   000
SendReports     yes
SoftwareHeader  yes
Canonicalization        relaxed/relaxed
Domain          mail.domain.ru
Selector        default
MinimumKeyBits  1024
KeyTable        /etc/opendkim/KeyTable
SigningTable    refile:/etc/opendkim/SigningTable
OversignHeaders From

То, что они не указаны, не значит что они не используются. Без определённого значения может использоваться значение по умолчанию.

По поводу подписи например здесь:

The TrustedHosts file tells OpenDKIM who to let use your keys. Because it's referenced by the ExternalIgnoreList directive in your conf file, OpenDKIM will ignore this list of hosts when verifying incoming mail and because it's also referenced by the InternalHosts directive, this same list of hosts will be considered «internal,» and OpenDKIM will sign their outgoing mail.

https://www.howtoforge.com/set-up-dkim-domainkeys-identified-mail-working-wit...

sin_a ★★★★★
() автор топика
Ответ на: комментарий от anonymous 
Sep 15 19:24:44 mail.domain.ru opendkim[234]: 12EAC813F2: macpsp.ru [185.127.24.235] not internal
Sep 15 19:24:44 mail.domain.ru opendkim[234]: 12EAC813F2: not authenticated
Sep 15 19:25:19 mail.domain.ru opendkim[234]: 36AE2813F2: macpsp.ru [185.127.24.235] not internal
Sep 15 19:25:19 mail.domain.ru opendkim[234]: 36AE2813F2: not authenticated
Sep 15 20:00:42 mail.domain.ru opendkim[234]: 5F711818A0: mail.wcubo.cl [45.55.228.190] not internal
Sep 15 20:00:42 mail.domain.ru opendkim[234]: 5F711818A0: not authenticated
Sep 15 20:18:07 mail.domain.ru opendkim[234]: 1634B818A0: mail2.domain.ru [1.2.3.7] not internal
Sep 15 20:18:07 mail.domain.ru opendkim[234]: 1634B818A0: not authenticated
Sep 15 20:19:03 mail.domain.ru opendkim[234]: E6B2D818A0: [1.2.3.2] [1.2.3.2] not internal
Sep 15 20:19:03 mail.domain.ru opendkim[234]: E6B2D818A0: not authenticated

Предпоследняя запись это письмо с mail2 (подписанное).

Последняя: 1.2.3.2 это адрес клиента — веб интерфейса для mail (отправка ответа на предыдущее тестовое письмо).

sin_a ★★★★★
() автор топика
Ответ на: комментарий от anonymous

Сокет связи мильтера и постфикс никак не связан логически с параметром client ip, который передается в мильтер на стадии смтп сессии как клиент смтп сервера.

На обоих постфиксах конфиг заканчивается так: 

smtpd_milters = unix:/run/rmilter/rmilter.sock, inet:localhost:8891
milter_default_action = accept
milter_protocol = 6
milter_mail_macros = i {mail_addr} {client_addr} {client_name} {auth_authen}

Значение последней строчки я не понимаю. Взята из описания rspamd.

sin_a ★★★★★
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Как настроить сборку загрузки траффика с mikrotik?
Admin
Проблема с открытием графических приложений