openDKIM і postfix на сервері Ubuntu 12.04 ЛТС

Я постараюся повернутися і формат цього краще. Але оскільки було прохання опублікувати мою відповідь, що я хотів опублікувати його зараз, а не чекати, поки у мене був час, щоб відформатувати його належним чином. За браком часу, я завернув весь мій відповідь на цитату. Я сподіваюся, що це рішення корисно.

Мої рекомендації:

• людина opendkim-кнопкою test
• людина opendkim.конф
• http://www.serveridol.com/2012/02/17/opendkim-configuring-dkim-keys-on-postfix/
• http://stevejenkins.com/blog/2010/09/how-to-get-dkim-domainkeys-identified-mail-working-on-centos-5-5-and-postfix-using-opendkim/
• http://blog.example.com/tag/opendkim/
• http://blog.tjitjing.com/index.php/2012/03/guide-to-install-opendkim-for-multiple-domains-with-postfix-and-debian.html

і у Вікіпедії є хороший записи по темі

Як мінімум вам знадобиться:

• Кореневої доступ до вашого поштового сервера
• Доступ для оновлення записів DNS для вашого домену

Встановіть opendkim з репозиторіїв:

# судо apt-отримати установку opendkim opendkim-інструменти

Ви повинні визначитися, що таке "селектор", який ви хочете використовувати. Селектор є, по суті, слово, щоб описати ключ, який ви хочете використовувати. Тут я збираюся використовувати селектор 201205 як ключ набув чинності у травні 2012 року (хитро так?). Я наведу два приклади для різноманітності, який, будемо сподіватися, додасть ясності. Вам потрібно всього лише створити один ключ. Однак, я даю обидва приклади, щоб ви могли порівняти їх.

• 201205 (1-й ключ)
• my_selector (2 ключа)

Мій домен буде example.comале я буду використовувати піддомен для мого другого прикладу:

• example.com (1-й ключ)
• mail.example.com (2 ключа)

Я вирішив працювати в наступному каталозі:

# команди mkdir файл /etc/opendkim/
# CD /і т. д./opendkim

Згенерувати ключі в поточному каталозі, використовуючи вибраний селектором і домен.

# opendkim-генкей -з 201205 -д example.com

Ви можете або не може знадобитися змінити форму власності. Подробиці див. В моєму прикладі для 2-го ключа нижче для того, власності та дозволи мають бути.

Спочатку ви повинні перевірити, якщо є opendkim користувача (користувача/групи ідентифікаторів можуть бути різними):

# дреп opendkim в /etc/passwd з
opendkim:х:108:117:: каталог/var/робота/opendkim:/ОГРН/брехня

І ви, ймовірно, потрібно зробити, це:

# команду chmod 700 /ВАР/робота/opendkim

Примітка: ці дві команди не потрібні в Ubuntu 12.04. Але якщо команди не вище показують, що opendkim користувача був налаштований правильно, зробити це наступним чином:

# команди useradd -р-р opendkim -G пошта -з командою /sbin/nologin -д /ВАР/робота/opendkim -з "OpenDKIM" opendkim
# Чаун opendkim:opendkim 201205.приватна 
# кіт 201205.приватна 
-----РОЗПОЧАТИ ЗАКРИТИЙ КЛЮЧ----ОДА-
ABCCXQ...[довга рядок]...SdQaZw9
-----КІНЕЦЬ ЗАКРИТОГО КЛЮЧА----ОДА-

Тепер перевіряємо відкритим ключем і зверніть увагу, що є помилка (в openDKIM 2.5.2 на Ubuntu 12.04)! Де міститься ;=RSA;в, він повинен містити ;к=АСР;. В до відсутня. Будь ласка, вставте його.

# кіт 201205.txt
201205.Назвою _domainkey в TXT "в=DKIM1;=ОДА; Р=WIGfM..[СНиП]..QIDIAB" ; ----- DKIM для 201205 для example.com

Після того, як фіксується, це буде виглядати так:

201205.Назвою _domainkey в TXT "в=DKIM1;к=ОДА; Р=WIGfM..[СНиП]..QIDIAB" ; ----- DKIM для 201205 для example.com

Крім того, ви, ймовірно, потрібно бігти з комою, як це. Якщо ви не хочете, щоб кінцеві коментар, просто видаліть його. Також зверніть увагу, що ви повинні додати t=р прапор, щоб вказати, для отримання серверів, які ви тестуєте англ, але не дуже активно його використовую ще. Вам залишається життєздатною запису ресурсу:

201205.Назвою _domainkey в txt "з V=DKIM1\;к=ОДА\;т=р\ р=WIGfM..[СНиП]..QIDIAB"

Ви повинні публікувати контент, зазначеного вище відкритого ключа, щоб ваш авторитетний DNS-сервер. Я рекомендую використовувати запис txt. Там, здається, багато суперечок про те, використовувати запис SPF, або обох типів. Після трохи читання, я вирішив дотримуватися запису txt тип виключно, хоча я не вірю, що це останнє слово з цієї теми.

Ви повинні використовувати короткий TTL (часу життя), так що ви можете змінити ключ без очікування віку для того, щоб поширити хоча ДНС. Я використовував 180 секунд.

Другий приклад генерації ключової пари було трохи складніше для мене. Я опишу, що я зробив. Перший елемент полягає в тому, що я використовував значення домену "example.com" навіть якщо ключ буде використовуватися для "mail.example.com". Я прийшов до цього через проби і помилки. Вона працює, при використанні "mail.example.com" не працював. На жаль, я не знаю причини цього. Це дійсно єдина різниця, я не стикалася, але це було досить важко, що я відчував, що я повинен документувати мій досвід з використанням піддоменів. Жоден з інших початківців підручники рівня я знайшов це. Генерують другий ключ:

opendkim-генкей -з my_selector -д example.com

перевірити власника та права доступу до закритого ключа, як зазначено вище. Ось як вони повинні виглядати:

# LS-Ла-файлі /etc/opendkim
-РВ------- 1 opendkim opendkim 891 10 травня 07:44 my_selector.приватна

Після публікації записів DNS, перевірити його копати. Він повинен повернути саме те, що ви увійшли в запис ресурсу (RR).

$ копати 201205._domainkey.example.com тхт +короткі
"у=DKIM1\;к=ОДА\;т=р\ р=WIGfM..[СНиП]..QIDIAB"

Тепер перевірте ключем. Команди нижче припустимо, що ви перебуваєте в директорії, де зберігається ключ (файл/etc/opendkim для мене).

# opendkim-кнопкою test -д example.com -з 201205 -до 201205.приватна -ВВВ
opendkim-кнопкою test: ключ завантажується з /etc/opendkim/201205.приватна
opendkim-кнопкою test: перевірка ключа '201205._domainkey.example.com'
opendkim-кнопкою test: ключ не безпечно
opendkim-кнопкою test: ключ ОК

Ці результати, як очікується. "Ключ не в безпеці" не вказує на помилку. Це очікуваний наслідок не використовуючи DNSSSEC. Технологія DNSSEC йде, але він не готовий до прайм-тайм, за моїм читанням.

Приклад з 2-ї ключ:

# opendkim-кнопкою test -д example.com -з my_selector -до в /etc/opendkim/my_selector.приватна -пппп
opendkim-кнопкою test: ключ завантажується з /etc/opendkim/my_selector.приватна
opendkim-кнопкою test: перевірка ключа 'my_selector._domainkey.example.com'
opendkim-кнопкою test: ключ не безпечно
opendkim-кнопкою test: ключ ОК

Зверніть увагу, що opendkim повідомляє, що ключ не є безпечною. Це пов'язано з тим, що DNSSEC не реалізовано на моєму DNS-сервері і теоретично хтось міг перехопити DNS-запит і замініть його власним ключем.

Відредагуйте файл OpenDKIM конфіг:

# нано /etc/opendkim.конф
# кіт у /etc/opendkim.конф
# Це базова конфігурація, яка може бути легко адаптована для стандартної
установка#. Для більш просунутих варіантів, див. opendkim.conf(5) та/або
# /usr/частки/док/opendkim/приклади/opendkim.конф.зразок.
#
Домен example.com
Ключовий файл /etc/opendkim/201205.приватна
Селектор 201205
#
# Часто використовувані параметри
Канонізації відпочинку/простий
Режим Св
Піддомени так
Журнал # в syslog
Syslog, тоді так
LogWhy так
# Вимагається, щоб використовувати локальний сокет МТС, що доступ до розетки, так як не
# привілейованого користувача (наприклад, постфікс)
Значення umask 022
Ідентифікатор opendkim:opendkim
#
KeyTable файл /etc/opendkim/KeyTable
SigningTable файл /etc/opendkim/SigningTable
ExternalIgnoreList файл /etc/opendkim/конфігурація
InternalHosts файл /etc/opendkim/конфігурація
#
Гніздо inet:8891@localhost
#ВФ

Якщо ви використовуєте мій 2-ий ключ з цільовою домен "mail.example.com" запис буде посилатися тільки на основний домен:

Домен example.com
Файл /і т. д./англ./my_selector.приватна
Селектор my_selector 
-----

Примітка від одного з моїх джерел: Якщо ви запустите кілька примірників постфікс, ви повинні додати це до opendkim.conf для кожного екземпляра (або ті, які ви хочете використовувати opendkim)

Створіть файл за допомогою текстового редактора файл/etc/opendkim/конфігурація:

Додати доменів, хостів і/або IP-адрес, які повинні бути оброблені OpenDKIM. Не забувайте, що на localhost.

127.0.0.1
ім'я localhost
example.com
mail.example.com
192.168.1.100 #(IP-адреса вашого сервера, якщо застосовно)

(останній рядок вище, ймовірно, не буде потрібен. Якщо у вас є IP-адресу, щоб додати, переконайтеся, що ви використовуєте свій власний, не вище прикладі.)

Редагувати /і т. д./За замовчуванням/opendkim:

Розкоментуйте цей рядок і використовувати порт 8891:

Сокет="inet:8891@localhost" # слухати на шлейф порту

Переконайтеся, що ваш брандмауер (мережевий екран) забезпечує петлевий на localhost:

судно в iptables -a enter -Ло -Джей приймає

Потім створіть файл за допомогою текстового редактора файл/etc/opendkim/KeyTable і додайте домен в KeyTable

Додати рядок:

#Приклад, який показує мій 2-ий ключ:
приклад my_selector._domainkey.example.com .кому:my_selector: файл/etc/opendkim/my_selector.приватна

Потім створіть файл за допомогою текстового редактора файл/etc/opendkim/SigningTable і додайте домен в SigningTable

Я показую як приклади. Зверніть увагу, що для моєї 2-ой ключ, тепер я повинен використовувати повне ім'я домену "mail.example.com":

example.com 201205._domainkey.example.com
mail.example.com my_selector._domainkey.example.com

Зверніть увагу, що в OpenDKIM 2.0.1 доменні імена чутливі до регістру. У цьому прикладі ми використовуємо нову версію OpenDKIM і це не представляється проблемою.

Налаштувати postfix. Відредагуйте /etc/постфікс/головна.CF і додати в кінець рядка

milter_default_action = прийняти
milter_protocol = 2
smtpd_milters=інет:на localhost:8891
non_smtpd_milters=інет:на localhost:8891

Також змініть ім'я вузла:

#myhostname = ім'я localhost #оригінал
myhostname = mail.example.com

Ви повинні також змінити відповідні записи в /etc/hosts на. Ці зміни набирають чинності після перезавантаження (хоча ви можете встановити його відразу з допомогою команди: ім'я НОВОЕ_ИМЯ).

Перезапускаємо Postfix і opendkim якщо ви не перезавантаження:

# послуги opendkim перезавантаження
Перезапуск OpenDKIM: opendkim.
# послуги postfix перезавантаження
 * Зупинка постфікс поштового транспортного агента постфікс [ ОК ]
 * Починаючи постфікс поштового транспортного агента постфікс [ ОК ] 

Тестування

Кращий спосіб перевірити, що ваш підпис електронна пошта проходить перевірку автентичності і, що записи DNS правильно налаштований, щоб використовувати одну з безкоштовних послуг з тестування. Я використовував ці:

• Брендон Checketts електронної пошти валідатор - http://www.brandonchecketts.com/emailtest.php (моя улюблена)
• Відправити лист за адресою: [email protected] (мій улюблений теж)

• Відправити лист за адресою: [email protected] (ви можете помістити все перевірити адреси електронної пошти в поле Кому: одного вихідного повідомлення на тест)

• Відправити лист за адресою: [email protected] <--- поламалися!!! Не використовуйте цей.

Кожен з них скаже вам, якщо речі працюють належним чином, і дати вам кілька порад з усунення неполадок в разі необхідності.

Якщо у вас є акаунт Gmail, ви також можете надіслати підписане повідомлення для швидкого і легкого тесту.

Як тільки ви щасливі, що все добре, ви можете зняти прапорець перевірки DNS TXT і збільшення терміну життя.

Молодець!