Hallo,
ich versuche derzeit OpenDKIM dazu zu bringen auch Subdomains zu signieren, jedoch ignoriert er diese einfach.
Wichtig in meinem Setup ist: mein Hauptserver arbeitet als Relay für zwei weitere Server und diese senden als Subdomains die signiert werden sollen.
Mein komplettes E-Mail Setup funktioniert tadellos auch DKIM für die Stammdomain. Nur die Subdomain E-Mails werden abgelehnt, da nicht signiert (soll durch DMARC auch so sein).
Code
Sep 19 14:03:19 mcplayman opendkim[2001]: A8F1B200BD: cdn.mcplayman.de [185.194.141.112] not internal
Sep 19 14:03:19 mcplayman opendkim[2001]: A8F1B200BD: not authenticated
Sep 19 14:03:19 mcplayman opendkim[2001]: A8F1B200BD: no signature data
Konfiguration:
Code
# Datei /etc/opendkim/key.table
# identifier domain:selector:keypath
cdn cdn.mcplayman.de:cdn:/etc/opendkim/keys/cdn.private
cloud cloud.mcplayman.de:cloud:/etc/opendkim/keys/cloud.private
mcplayman mcplayman.de:201707:/etc/opendkim/keys/mcplayman.private
Code
# Datei /etc/opendkim/signing.table
# Welche Domain mit welchem Schlüssel signiert wird
*@cdn.mcplayman.de cdn
*@cloud.mcplayman.de cloud
*@mcplayman.de mcplayman
Code
# Datei /etc/opendkim/trusted
127.0.0.1
::1
localhost
# Server 1
185.194.141.112
2a03:4000:1c:23b::1
cloud.mcplayman.de
cdn.mcplayman.de
# Server 2 (per VPN verbunden) (hat noch keine DKIM Keys, erstmal soll Server 1 laufen)
172.16.0.2
fd04:74a2:3766::1000
iot.mcplayman.de
# Hauptserver
mcplayman.de
*.mcplayman.de
Alles anzeigen
Code
# Datei /etc/opendkim.conf
# OpenDKIM agiert als Mail Filter (= Milter) in den
# Modi signer (s) und verifier (v) und verwendet eine
# Socket-Datei zur Kommunikation (alternativ: lokaler Port)
Mode sv
Socket local:/var/spool/postfix/opendkim/opendkim.sock
# Socket inet:12345@localhost
# OpenDKIM verwendet diesen Benutzer bzw.
# diese Gruppe
UserID opendkim:opendkim
UMask 002
PidFile /var/run/opendkim/opendkim.pid
# OpenDKIM bei Problemen neustarten,
# aber max. 10 mal pro Stunde
AutoRestart yes
AutoRestartRate 10/1h
# Logging (wenn alles funktioniert eventuell reduzieren)
Syslog yes
SyslogSuccess yes
LogWhy yes
# Verfahren, wie Header und Body durch
# OpenDKIM verarbeitet werden sollen.
Canonicalization relaxed/simple
# interne Mails nicht mit OpenDKIM verarbeiten
ExternalIgnoreList refile:/etc/opendkim/trusted
InternalHosts refile:/etc/opendkim/trusted
# welche Verschlüsselungs-Keys sollen für welche
# Domains verwendet werden
# (refile: für Dateien mit regulären Ausdrücke)
SigningTable refile:/etc/opendkim/signing.table
KeyTable /etc/opendkim/key.table
# diesen Signatur-Algorithmus verwenden
SignatureAlgorithm rsa-sha256
# Always oversign From (sign using actual From and a null From to prevent
# malicious signatures header fields (From and/or others) between the signer
# and the verifier. From is oversigned by default in the Debian pacakge
# because it is often the identity key used by reputation systems and thus
# somewhat security sensitive.
OversignHeaders From
Alles anzeigen
DNS Einträge sollten korrekt gesetzt sein, aber keinen Einfluss haben ob signiert wird oder nicht.
Die Frage ist nun, warum fühlt sich OpenDKIM nicht für die Subdomains zuständig? Warum signiert er nicht?
Mit freundlichen Grüßen,
MrKrabat