Benutzen von DKIM in ISPconfig 3.1

Dieses Thema im Forum "Installation und Konfiguration" wurde erstellt von jmzbeki, 24. Sep. 2016.

  1. jmzbeki

    jmzbeki Member

    Hallo,
    ich möchte gern DKIM benutzen, muss ich da irgendwas beachten oder einfach nur anklicken und schon ist es automatisch eingetragen und hinterlegt in den dns-einträgen??
     
  2. florian030

    florian030 Member

    Solange Du die DNS auch mit ISPConfig verwaltest musst Du dann ncihts weiter machen.
     
  3. fuxifux

    fuxifux Member

    Ich hänge mich da mal an:
    -muss etwas beachtet werden, wenn man einen älteren Server auf 3.1 updated?
    -werden die Einstellungen, die in Amavis nötig sind auch automatisch von ISPConfig angelegt?
    -muss man nach dem Anlegen des ersten DKIM nochmal die services rekonfigureiren?
    Das es bei mir nicht funktioniert kann auch daran liegen, dass sich der DNS-Eintrag erst verbreiten muss, aber ich frage mal vorsichtshalber nach.
    Im Manual von ISPConfig 3.1 und den perfect-server Anleitungen hab ich jedenfalls nichts gefunden.
     
  4. florian030

    florian030 Member

  5. fuxifux

    fuxifux Member

    Kann da bei bind etwas schief gehen?
    Seit ich bei einer domain DKIM aktiviert habe finde ich bei dig-Abfragen an den DNS keine TXT-Records für diese Domain mehr.

    In der Zonendatei sind die Einträge aber vorhanden.
     
  6. florian030

    florian030 Member

    Der Code von DKIM ist seit gut 2 Jahren quasi stabil und auf zig Servern installiert. Das klingt eher so, als wäre Deine Abfrage mit dig falsch. Wenn Du DKIM aktivierst und einen eigenen DNS mit ISPConfig betreibst, dann kommt da nur ein TXT-Record mit dazu.
     
  7. fuxifux

    fuxifux Member

    Ja, genau so shaut das in der Zonen-Datei auch aus.

    Einen Fehler hab ich schon mal gefunden, bei der zone hat im SPF-Record der letzte Punkt gefehlt.

    Bei der Dig-Abfrage kommt aber der DKIM-Record noch immer nicht:
    Code:
    dig domain.at txt @server.domain.at
    Der relevante Teil der Zone sieht so aus:
    Code:
    domain.at. 3600 A        91.121.33.217
    www 3600 A        91.121.33.217
    domain.at. 3600      MX    10   server.domain.at.
    domain.at. 3600      NS        server.domain.at.
    domain.at. 3600      NS        sdns2.domain.net.
    default._domainkey.domain.at. 3600      TXT        "v=DKIM1; t=s; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCVbxWZlBcIIksQCzaK8PZCMxVZhmNGn0GHsQmYQc5wPxSibdSzqF5vHhK20vcCIWInwdJkT6MixtaiVpi3S5TTyJl4TujRqXkam9VBCH+qk5SAK2IBLD+AqXwy+WiPNQU3y8vXmgEhuI2st2ouWW2zoVgO47V+4rEdKECmMEjwswIDAQAB"
    domain.at. 86400      TXT        "v=spf1 ip4:87.98.242.204 include:server.domain.at -all"
    
     
    Zuletzt bearbeitet: 7. Okt. 2016
  8. florian030

    florian030 Member

    Ich zitiere einfach mal aus meinem Link aus #4:

    dig default._domainkey.example.com TXT

    Hast Du den SPF-Record selber erstellt oder den Wizard genommen? Würde mich doch sehr wundern, wenn der falsche Einträge generiert.
     
  9. fuxifux

    fuxifux Member

    Ah, danke! manchmal muss ich mit dem Kopf drauf gestoßen werden ;)
    Im DNS ist der Record also vorhanden.

    Der SPF-Record wurde ziemlich sicher selbst erstellt.
    Bei allen anderen Maildomains ist er drin, auch in meinem Template.

    Die Domain wird kaum für Mails verwendet, deswegen ist mir das wohl nie aufgefallen.

    Jetzt fehlt nur noch, dass die ausgehenden Mails auch signiert werden, die Antwort von "check-auth2@verifier.port25.com" sieht so aus:

    Code:
    ==========================================================
    Summary of Results
    ==========================================================
    SPF check:          pass
    DomainKeys check:   neutral
    DKIM check:         neutral
    SpamAssassin check: ham
    
    ==========================================================
    Details:
    ==========================================================
    
    ----------------------------------------------------------
    SPF check details:
    ----------------------------------------------------------
    Result:         pass
    ID(s) verified: smtp.mailfrom=office@Domain.at
    DNS record(s):
        Domain.at. SPF (no records)
        Domain.at. 86400 IN TXT "v=spf1 ip4:87.98.242.204 include:server.Domain.at -all"
    
    ----------------------------------------------------------
    DomainKeys check details:
    ----------------------------------------------------------
    Result:         neutral (message not signed)
    ID(s) verified: header.From=office@Domain.at
    DNS record(s):
    
    ----------------------------------------------------------
    DKIM check details:
    ----------------------------------------------------------
    Result:         neutral (message not signed)
    ID(s) verified:
    
    NOTE: DKIM checking has been performed based on the latest DKIM specs
    .......
    Oder muss ich da jetzt einfach darauf warten, dass sich die Änderung im DNS verbreitet?

    Was ich selbst in Amavis geändert habe: in der Datei 50-user hab ich folgende Zeile eingefügt bzw geändert:
    Code:
    @inet_acl = qw(127.0.0.1 ::1 87.98.242.204);   
    damit die Mails nur von der IP versendet werden, die auch im SPF steht und den richtigen reverse-DNS Eintrag hat.
    Das sollte aber auch keine Auswirkungen auf die DKIM - Signierung haben...
     
    Zuletzt bearbeitet: 7. Okt. 2016
  10. florian030

    florian030 Member

    neutral (message not signed) = die Mail ist nicht signiert.
    Übrigens: @inet_acl definiert die IPs, von denen Amavis einen Connect akzeptiert. In der master.cf geht das eigentlich immer über 127.0.0.1

    Hast Du ein reconfigure services laufen lassen? Sonst fehlen Dir Änderungen in Amavis und Postfix, damit die Mails signiert werden, die Du über smtp einlieferst.
     
  11. fuxifux

    fuxifux Member

    Ich hatte Debian Wheezy mit ISPConfing 3.05...
    Dann hab ich ein Upgrade auf Jessie gemacht, und danach ein Update mit reconfigure services von ISPConfig auf stable, aso 3.1
    Danach hab ich auch noch ein resync für alle services gemacht.
    Es sind zwar während dem Upgrade auf Jessie mehrere Config-File-Abfragen gekommen, aber ich hab auch im gespeicherten SSH-Log des Updates keine für amavis oder postfix gefunden.

    Kann man die Änderungen für DKIM einfach selbst in den Config-Files finden bzw. prüfen?
    Kann es sein,dass die Änderungen nicht gemacht wurden, weil zum Zeitpunkt des reconfigure Services DKIM noch für keine einzige Domain enabled war?

    Edit: das @inet_acl hab ich dann vermutlich deswegen gemacht, weil ich in postfix die sendeadresse festgelegt habe. Ich weiss jedenfalls noch dass vor den Änderungen manchmal Mails auch von den anderen IP's des servers versendet wurden, und damit die reverse-DNS usw nicht gepasst hatten.

    Edit2:
    Ich hab jetzt nochmal ein update mit reconfigure services gemacht und folgende Meldung erhalten:
    Code:
    Configuring Postfix
    Configuring Dovecot
    Configuring Spamassassin
    Configuring Amavisd
    Configuring Getmail
    Configuring BIND
    [INFO] haveged not detected - DNSSEC can fail
    Configuring Pureftpd
    Configuring Apache
    Configuring vlogger
    Configuring Apps vhost
    Configuring Jailkit
    Configuring Database
    Updating ISPConfig
    das dürfte passen, im DNS sind die Einträge ja vorhanden - und DNSSEC steht weiter unten auf meiner ToDo-Liste..
     
    Zuletzt bearbeitet: 7. Okt. 2016
  12. mrairbrush

    mrairbrush Member

    Auch wenn man einen Schlüssel erzeugt werden mails abgewiesen. Der Schlüssel erscheint zwar bei einer gmail fehlermeldung aber sie erwarten noch eine IPV6 adresse.
    Nach Einrichten der IPV6 kommen mails trotzdem zurück.

    host gmail-smtp-in.l.google.com[64.233.166.27] said:
    550-5.7.1 [91.xxx.xxx.xxx 18] Our system has detected that this
    message is 550-5.7.1 likely suspicious due to the very low reputation of
    the sending IP 550-5.7.1 address. To best protect our users from spam, the
    message has been 550-5.7.1 blocked. Please visit 550 5.7.1
    https://support.google.com/mail/answer/188131 for more information.
    ql1si22589919wjc.85 - gsmtp (in reply to end of DATA command)
     
  13. fuxifux

    fuxifux Member

    @mrairbrush :
    Das Problem liegt ja wie oben in der Fehlermeldung steht an dem "sehr niedrigen Ansehen" der sendenden IP-Adresse.
    Hast du die IP gegen Blacklists gecheckt:
    http://mxtoolbox.com/blacklists.aspx

    Wenn man dem Link in der Meldung folgt, kommt man zu den Regeln, die Gmail gerne hätte.
    Wenn die Regeln von Gmail jetzt eingehalten werden(und vorher nicht) kann es auch einfach nur dauern.

    Zitat aus dem Troubleshooting von Gmail(ich bin nur dem Link gefolgt):
    Code:
    Wir freuen uns, dass Sie das Problem finden und beheben konnten. 
    Beachten Sie bitte, dass es eventuell einige Zeit dauern wird, bis die Reputation Ihrer Domain wiederhergestellt ist, 
    und dass es daher noch für einige Zeit zu Problemen bei der Zustellung von E-Mails an Gmail-Nutzer kommen kann. 
    Dieses Problem wird sich von selbst lösen, wenn Sie konsequent die Richtlinien in unseren Hinweisen für Bulk-Absender befolgen.
     
  14. florian030

    florian030 Member

    Klar, kannst Du machen. Für Amavis ist das in etwa:
    Code:
    $inet_socket_port = [10024,10026];
    $forward_method = 'smtp:[127.0.0.1]:10025';
    $notify_method = 'smtp:[127.0.0.1]:10027';
    $interface_policy{'10026'} = 'ORIGINATING';
    $policy_bank{'ORIGINATING'} = {originating => 1,smtpd_discard_ehlo_keywords => ['8BITMIME'],forward_method => 'smtp:[127.0.0.1]:10027',};
    @mynetworks = qw(0.0.0.0/8 127.0.0.0/8 10.0.0.0/8 172.16.0.0/12 192.168.0.0/16);
    $signed_header_fields{'received'} = 0;
    $enable_dkim_verification = 1;
    $enable_dkim_signing = 1;
    @dkim_signature_options_bysender_maps = ({ '.' => { ttl => 21*24*3600, c => 'relaxed/simple' } } );
    
    Ich bin mir aber ziemlich sicher, dass ich dazu noch was in der 3.1 geändert hatte - die Werte gehen aber auch.

    Und für postfix kannst Du das hier nachlesen.

    Nein.
     
  15. fuxifux

    fuxifux Member

    Ok, das wars.
    Irgendwas hat anscheinend ISPConfig daran gehindert, die main.cf und die /etc/amavis/conf.d/50-user zu ändern.
    (eventuell auch meine eigenen Änderungen)
    Nachdem ich die Änderungen eingefügt habe und amavis und postfix neu gestartet habe läuft's!
    Hilfreich wäre eventuell, wenn das ISPConfig-Update das scheitern solcher Änderungen melden würde. Oder gibt's da auch einen debug-Modus oder logfiles, den/die ich übersehen habe?

    Jedenfalls vielen Dank für die Hilfe!

    Edit:
    Die Datei "/etc/amavis/50-user~" ist nach dem update mit reconfigure services übrig geblieben.
    kann da auch ein Dateirechteproblem vorliegen?
    Edit2:
    Auch im Verzeichnis: "/etc/postfix/" sind eine Menge Dateien mit angehängtem ~ zu finden.
    Edit3:
    Das /var/log/ispconfig_install.log hab ich jetzt auch gefunden ;) da sind bei mir allerdings nur solche zeilen drin:
    Code:
    Fri Oct 7 18:25:58 CEST 2016 - [ISPConfig] - /tmp/ispconfig3_install/install/lib/installer_base.lib.php, Line 997: EXECUTED: postconf -e alias_maps = hash:/etc/aliases, hash:/var/lib/mailman/data/aliases
    Fri Oct 7 18:25:58 CEST 2016 - [ISPConfig] - /tmp/ispconfig3_install/install/lib/installer_base.lib.php, Line 997: EXECUTED: postconf -e alias_database = hash:/etc/aliases, hash:/var/lib/mailman/data/aliases
    Fri Oct 7 18:25:58 CEST 2016 - [ISPConfig] - /tmp/ispconfig3_install/install/lib/installer_base.lib.php, Line 997: EXECUTED: postconf -e virtual_alias_domains =
    
    Da deutet nichts auf eventuelle Fehler hin...
     
    Zuletzt bearbeitet: 7. Okt. 2016
  16. fuxifux

    fuxifux Member

    So, jetzt hab ich den eigentlichen Fehler gefunden:
    Im Rahmen der Festlegung des Mailservers auf 1 IP habe ich in einer älteren ISPConfig Version conf-custom - Dateien für Postfix und amavis angelegt.
    Die haben beim update auf 3.1 natürlich alle Neuerungen in den config-Dateien von psotfix und amavis wieder rückgängig gemacht.

    Jetzt stellt sich nur mehr die eine Frage: gibt es einen einfacheren Weg, den Server zu zwingen, Mails per smtp nur von einer bestimmten ip(nämlich der die zu server.domain.tld gehört) zu senden?
     
    Zuletzt bearbeitet: 7. Okt. 2016
  17. florian030

    florian030 Member

    smtp_bind_address

    Und ein reconfigure services schreibt ja nicht die komplette Config neu.
     
  18. fuxifux

    fuxifux Member

    Stimmt, die main.cf habe ich jetzt ändern können ohne custom conf.

    Nur funktioniert dann bei mir amavis nicht mehr:
    Ohne die angabe der per smtp_bind_address festgelegten IP in der 50-user unter @inet_acl bekomme ich beim versenden von Mails folgende Meldung im mail.log:
    Code:
    Oct  8 10:56:15 server amavis[5303]: (!)DENIED ACCESS from IP xx.xx.xx.xx, policy bank 'ORIGINATING'
    
    Mails werden nicht zugestellt.

    Und für die Änderung von @inet_acl benötige ich wieder eine conf-custom, da die im template von 3.1 fest gelegt wird.

    Super wäre natürlich, wenn ich das irgendwie anders lösen könnte.
     
  19. fuxifux

    fuxifux Member

    Ich weiß zwar nicht, ob meine neue Lösung tatsächlich sauber ist aber immerhin:
    ich hab jetzt im Verzeichnis "/etc/amavis/conf.d" die Datei: "55-postfix_smtp_bind_address" mit folgendem Inhalt erstellt:
    Code:
    use strict;
    
    #Das file ist nur für die Festlegung auf eine Sende-IP in der main.cf von Postfix nötig
    #======================================================================================
    # Allow SMTP access from IPs in @inet_acl to amvisd SMTP Port
    @inet_acl = qw( 127.0.0.1 [::1] IP.IP.IP.IP );
    
    
    #------------ Do not modify anything below this line -------------
    1;  # insure a defined return
    
    
    statt IP.IP.IP.IP hab ich die IP eingesetzt, auf die postfix per smtp_bind_address festgelegt wurde.

    So kann ich auf die custom config verzichten und ändere in amavis ausschließlich den Eintrag, der mich am korrekten Mailversand hindert.

    Hoffentlich kann ich mit der Lösung das eine oder ander Update schadlos überstehen :)
     
    Zuletzt bearbeitet: 8. Okt. 2016
  20. florian030

    florian030 Member

    Die Datei wird beim Update nicht geändert. Ich verstehe nur nicht, warum amavis auf die public-ip des mailservers reagieren soll. Warum machst Du die connects zu amavis nicht über localhost?
     

Diese Seite empfehlen