为 Ubuntu、Postfix 和 Mailman 设置 DKIM (DomainKeys)

问题描述

我正在运行带有 Postfix 和 Mailman 的 Ubuntu 12.04。我想设置 DKIM 。 DomainKeys Identified Mail，或 DKIM，是 Yahoo 的 “DomainKeys” 的继任者。它包含 Cisco 的识别邮件。

设置它的步骤是什么？

推荐opendkim吗？

我唯一的参考是 HowToForge ，但我更喜欢在这里获得帮助(即使它只是对该链接中步骤的确认)。实际上，我认为 HowToForge 上的信息已经过时，因为它提到了 dkim-filter 而不是 opendkim。

最佳方法

Ubuntu Server 12.04LTS 上的 openDKIM 和 Postfix

我会尝试回来并更好地格式化它。但由于有人要求发布我的答案，我想现在发布它，而不是等到我有时间正确格式化它。由于时间不够，我把我的整个答案都放在了一个引用中。我希望这个解决方案会有所帮助。

这些是我的参考：

• man opendkim-testkey

• man opendkim.conf

• http://www.serveridol.com/2012/02/17/opendkim-configuring-dkim-keys-on-postfix/

• http://stevejenkins.com/blog/2010/09/how-to-get-dkim-domainkeys-identified-mail-working-on-centos-5-5-and-postfix-using-opendkim/

• http://blog.example.com/tag/opendkim/

• http://blog.tjitjing.com/index.php/2012/03/guide-to-install-opendkim-for-multiple-domains-with-postfix-and-debian.html

并且 Wikipedia 在这个主题上有一个很好的条目

您至少需要：

• 根访问您的邮件服务器

• 访问以更新您的域的 dns 记录

从存储库安装 opendkim：

# sudo apt-get install opendkim opendkim-tools

您必须决定要使用的 “selector”。选择器本质上是一个描述您希望使用的键的词。在这里，我将使用选择器 201205，因为密钥在 2012 年 5 月生效(很狡猾吧？)。我举了两个多样性的例子，希望能增加清晰度。您只需要生成一个密钥。但是，我给出了这两个示例，以便您可以比较它们。

• 201205(第一把钥匙)

• my_selector(第二个键)

我的域将是 example.com ，但我将在第二个示例中使用子域：

• example.com(第一个键)

• mail.example.com(第二键)

我决定在以下目录中工作：

# mkdir /etc/opendkim/
# cd /etc/opendkim

使用您选择的选择器和域在当前目录中生成密钥。

# opendkim-genkey -s 201205 -d example.com

您可能需要也可能不需要更改所有权。请参阅我的示例中的详细信息，了解下面的第二个键应该是什么所有权和权限。

首先，您应该检查是否有 opendkim 用户(您的用户/组 ID 可能不同)：

# grep opendkim /etc/passwd
opendkim:x:108:117::/var/run/opendkim:/bin/false

你可能需要这样做：

# chmod 700 /var/run/opendkim

注意：接下来的两个命令在 Ubuntu 12.04 上不需要。但是，如果上面的命令没有显示用户 opendkim 设置正确，请与此类似：

# useradd -r -g opendkim -G mail -s /sbin/nologin -d /var/run/opendkim -c "OpenDKIM" opendkim
# chown opendkim:opendkim 201205.private   
# cat 201205.private 
-----BEGIN RSA PRIVATE KEY-----
ABCCXQ...[long string]...SdQaZw9
-----END RSA PRIVATE KEY-----

现在检查公钥并注意到有一个错误(在 Ubuntu 12.04 上的 openDKIM 2.5.2 中)！在哪里包含 ;=rsa; ，它应该包含 ;k=rsa; 。缺少 k。请插入。

# cat 201205.txt
201205._domainkey IN TXT "v=DKIM1;=rsa; p=WIGfM..[snip]..QIDIAB" ; ----- DKIM 201205 for example.com

修好后是这样的：

201205._domainkey IN TXT "v=DKIM1;k=rsa; p=WIGfM..[snip]..QIDIAB" ; ----- DKIM 201205 for example.com

此外，您可能需要像这样转义分号。如果您不想要结束评论，只需将其删除。另请注意，您应该添加 t=y 标志以向接收服务器指示您正在测试 DKIM 但尚未积极使用它。你留下了一个可行的资源记录：

201205._domainkey IN TXT "v=DKIM1\;k=rsa\;t=y\;p=WIGfM..[snip]..QIDIAB"

您必须将上述公钥的内容发布到您的权威 DNS 服务器。我建议使用 TXT 记录。关于是否使用 SPF 记录或两种类型似乎存在一些争议。经过一番阅读，我选择坚持使用 TXT 记录类型，尽管我不相信这是关于这个主题的最终决定。

您应该使用较短的 TTL(生存时间)，这样您就可以更改密钥而无需等待它通过 DNS 传播的时间。我用了180秒。

生成密钥对的第二个示例对我来说有点棘手。我会描述我做了什么。第一个元素是我使用了域值 “example.com”，即使密钥将用于 “mail.example.com”。我通过反复试验得出了这个结论。它有效，而使用 “mail.example.com” 无效。不幸的是，我不知道这背后的原因。这确实是我遇到的唯一区别，但它已经足够令人不安了，我觉得我应该记录我使用子域的经验。我发现的其他初级教程都没有这样做。生成第二个密钥：

opendkim-genkey -s my_selector -d example.com

检查私钥的所有权和权限，如上所述。他们应该是这样的：

# ls -la /etc/opendkim
-rw-------  1 opendkim opendkim  891 May 10 07:44 my_selector.private

发布 DNS 记录后，使用 dig 检查它。它应该准确地返回您在资源记录 (RR) 中输入的内容。

$ dig 201205._domainkey.example.com txt +short
"v=DKIM1\;k=rsa\;t=y\;p=WIGfM..[snip]..QIDIAB"

现在，测试密钥。下面的命令假设您位于密钥所在的目录中(对我来说是 /etc/opendkim)。

# opendkim-testkey -d example.com -s 201205 -k 201205.private -vvv
opendkim-testkey: key loaded from /etc/opendkim/201205.private
opendkim-testkey: checking key '201205._domainkey.example.com'
opendkim-testkey: key not secure
opendkim-testkey: key OK

这些结果是预期的。 “密钥不安全”并不表示错误。这是不使用 DNSSSEC 的预期结果。根据我的阅读，DNSSEC 即将到来，但还没有准备好迎接黄金时段。

带有第二个键的示例：

# opendkim-testkey -d example.com -s my_selector -k /etc/opendkim/my_selector.private -vvvv
opendkim-testkey: key loaded from /etc/opendkim/my_selector.private
opendkim-testkey: checking key 'my_selector._domainkey.example.com'
opendkim-testkey: key not secure
opendkim-testkey: key OK

请注意，opendkim 报告密钥不安全。这与 DNSSEC 未在我的 DNS 服务器上实现这一事实有关，理论上有人可以拦截 DNS 查找并用他们自己的密钥替换它。

编辑 OpenDKIM 配置文件：

# nano /etc/opendkim.conf
# cat /etc/opendkim.conf
# This is a basic configuration that can easily be adapted to suit a standard
# installation. For more advanced options, see opendkim.conf(5) and/or
# /usr/share/doc/opendkim/examples/opendkim.conf.sample.
#
Domain                  example.com
KeyFile                 /etc/opendkim/201205.private
Selector                201205
#
# Commonly-used options
Canonicalization        relaxed/simple
Mode                    sv
SubDomains              yes
# Log to syslog
Syslog                  yes
LogWhy                  yes
# Required to use local socket with MTAs that access the socket as a non-
# privileged user (e.g. Postfix)
UMask                   022
UserID                  opendkim:opendkim
#
KeyTable                /etc/opendkim/KeyTable
SigningTable            /etc/opendkim/SigningTable
ExternalIgnoreList      /etc/opendkim/TrustedHosts
InternalHosts           /etc/opendkim/TrustedHosts
#
Socket                  inet:8891@localhost
#EOF

如果您使用我的第二个关键示例，目标域为 “mail.example.com”，则该条目仍将仅引用主域：

Domain                  example.com
KeyFile                 /etc/dkim/my_selector.private
Selector                my_selector 
-----

来自我的一个来源的注释：如果您运行多个 Postfix 实例，则需要将其添加到每个实例的 opendkim.conf(或您要使用 opendkim 的实例)

使用文本编辑器 /etc/opendkim/TrustedHosts 创建一个文件：

添加应该由 OpenDKIM 处理的域、主机名和/或 ip。不要忘记本地主机。

127.0.0.1
localhost
example.com
mail.example.com
192.168.1.100 #(IP address of your server, if applicable)

(上面的最后一行可能不需要。如果您确实有要添加的 IP 地址，请确保使用您自己的，而不是上面的示例。)

编辑 /etc/default/opendkim ：

取消注释此行并使用端口 8891：

SOCKET="inet:8891@localhost" # listen on loopback on port

确保您的防火墙 (iptables) 允许在 localhost 上进行环回：

sudo iptables -A INPUT -i lo -j ACCEPT

接下来，使用您的文本编辑器创建一个文件 /etc/opendkim/KeyTable 并将域添加到 KeyTable

添加行：

#EXAMPLE showing my 2nd key:
my_selector._domainkey.example.com example.com:my_selector:/etc/opendkim/my_selector.private

Next 使用文本编辑器创建一个文件 /etc/opendkim/SigningTable 并将域添加到 SigningTable

我展示了这两个例子。请注意，对于我的第二个密钥，我现在必须使用完整的域名 “mail.example.com”：

example.com 201205._domainkey.example.com
mail.example.com my_selector._domainkey.example.com

请注意，在 OpenDKIM 2.0.1 中，域名区分大小写。在此示例中，我们使用的是较新版本的 OpenDKIM，这似乎不是问题。

配置后缀。编辑 /etc/postfix/main.cf 并将这些行添加到末尾

milter_default_action = accept
milter_protocol = 2
smtpd_milters=inet:localhost:8891
non_smtpd_milters=inet:localhost:8891

还要更改主机名：

#myhostname = localhost         #original
myhostname = mail.example.com

您还应该更改 /etc/hosts 中的相应条目。这些更改在重新启动后生效(尽管您可以使用命令立即设置它： hostname NEW_NAME )。

如果您没有重新启动，请重新启动 postfix 和 opendkim：

# service opendkim restart
Restarting OpenDKIM: opendkim.
# service postfix restart
 * Stopping Postfix Mail Transport Agent postfix   [ OK ]
 * Starting Postfix Mail Transport Agent postfix   [ OK ] 

Testing

检查您的签名邮件是否经过身份验证以及您的 DNS 记录是否正确设置的最佳方法是使用免费测试服务之一。我用了这些：

• Brandon Checketts 电子邮件验证器 – http://www.brandonchecketts.com/emailtest.php(我最喜欢的)

• 发送签名电子邮件至：check-auth@verifier.port25.com(我也最喜欢)

• 将签名的电子邮件发送到：sa-test@sendmail.net(您可以将所有测试电子邮件地址放在要测试的单个外发邮件的“收件人：”字段中)

• 发送签名的电子邮件至：autorespond+dkim@dk.elandsys.com <— BROKEN!!!不要用这个。

其中的每一个都会告诉您事情是否正常，并在需要时为您提供一些有关故障排除的指示。

如果您有 Gmail 帐户，您还可以在那里发送签名邮件，以便快速轻松地进行测试。

一旦您对一切正常感到满意，您就可以删除 DNS TXT 记录中的测试标志并增加 TTL。

完毕！

参考资料

• Setup DKIM (DomainKeys) for Ubuntu, Postfix and Mailman