Benutzen von DKIM in ISPconfig 3.1

jmzbeki

Member
Hallo,
ich möchte gern DKIM benutzen, muss ich da irgendwas beachten oder einfach nur anklicken und schon ist es automatisch eingetragen und hinterlegt in den dns-einträgen??
 

fuxifux

Member
Ich hänge mich da mal an:
-muss etwas beachtet werden, wenn man einen älteren Server auf 3.1 updated?
-werden die Einstellungen, die in Amavis nötig sind auch automatisch von ISPConfig angelegt?
-muss man nach dem Anlegen des ersten DKIM nochmal die services rekonfigureiren?
Das es bei mir nicht funktioniert kann auch daran liegen, dass sich der DNS-Eintrag erst verbreiten muss, aber ich frage mal vorsichtshalber nach.
Im Manual von ISPConfig 3.1 und den perfect-server Anleitungen hab ich jedenfalls nichts gefunden.
 

fuxifux

Member
Kann da bei bind etwas schief gehen?
Seit ich bei einer domain DKIM aktiviert habe finde ich bei dig-Abfragen an den DNS keine TXT-Records für diese Domain mehr.

In der Zonendatei sind die Einträge aber vorhanden.
 

florian030

Well-Known Member
Der Code von DKIM ist seit gut 2 Jahren quasi stabil und auf zig Servern installiert. Das klingt eher so, als wäre Deine Abfrage mit dig falsch. Wenn Du DKIM aktivierst und einen eigenen DNS mit ISPConfig betreibst, dann kommt da nur ein TXT-Record mit dazu.
 

fuxifux

Member
Ja, genau so shaut das in der Zonen-Datei auch aus.

Einen Fehler hab ich schon mal gefunden, bei der zone hat im SPF-Record der letzte Punkt gefehlt.

Bei der Dig-Abfrage kommt aber der DKIM-Record noch immer nicht:
Code:
dig domain.at txt @server.domain.at

Der relevante Teil der Zone sieht so aus:
Code:
domain.at. 3600 A        91.121.33.217
www 3600 A        91.121.33.217
domain.at. 3600      MX    10   server.domain.at.
domain.at. 3600      NS        server.domain.at.
domain.at. 3600      NS        sdns2.domain.net.
default._domainkey.domain.at. 3600      TXT        "v=DKIM1; t=s; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCVbxWZlBcIIksQCzaK8PZCMxVZhmNGn0GHsQmYQc5wPxSibdSzqF5vHhK20vcCIWInwdJkT6MixtaiVpi3S5TTyJl4TujRqXkam9VBCH+qk5SAK2IBLD+AqXwy+WiPNQU3y8vXmgEhuI2st2ouWW2zoVgO47V+4rEdKECmMEjwswIDAQAB"
domain.at. 86400      TXT        "v=spf1 ip4:87.98.242.204 include:server.domain.at -all"
 
Zuletzt bearbeitet:

florian030

Well-Known Member
Ich zitiere einfach mal aus meinem Link aus #4:

dig default._domainkey.example.com TXT

Hast Du den SPF-Record selber erstellt oder den Wizard genommen? Würde mich doch sehr wundern, wenn der falsche Einträge generiert.
 

fuxifux

Member
Ah, danke! manchmal muss ich mit dem Kopf drauf gestoßen werden ;)
Im DNS ist der Record also vorhanden.

Der SPF-Record wurde ziemlich sicher selbst erstellt.
Bei allen anderen Maildomains ist er drin, auch in meinem Template.

Die Domain wird kaum für Mails verwendet, deswegen ist mir das wohl nie aufgefallen.

Jetzt fehlt nur noch, dass die ausgehenden Mails auch signiert werden, die Antwort von "check-auth2@verifier.port25.com" sieht so aus:

Code:
==========================================================
Summary of Results
==========================================================
SPF check:          pass
DomainKeys check:   neutral
DKIM check:         neutral
SpamAssassin check: ham

==========================================================
Details:
==========================================================

----------------------------------------------------------
SPF check details:
----------------------------------------------------------
Result:         pass
ID(s) verified: smtp.mailfrom=office@Domain.at
DNS record(s):
    Domain.at. SPF (no records)
    Domain.at. 86400 IN TXT "v=spf1 ip4:87.98.242.204 include:server.Domain.at -all"

----------------------------------------------------------
DomainKeys check details:
----------------------------------------------------------
Result:         neutral (message not signed)
ID(s) verified: header.From=office@Domain.at
DNS record(s):

----------------------------------------------------------
DKIM check details:
----------------------------------------------------------
Result:         neutral (message not signed)
ID(s) verified:

NOTE: DKIM checking has been performed based on the latest DKIM specs
.......
Oder muss ich da jetzt einfach darauf warten, dass sich die Änderung im DNS verbreitet?

Was ich selbst in Amavis geändert habe: in der Datei 50-user hab ich folgende Zeile eingefügt bzw geändert:
Code:
@inet_acl = qw(127.0.0.1 ::1 87.98.242.204);
damit die Mails nur von der IP versendet werden, die auch im SPF steht und den richtigen reverse-DNS Eintrag hat.
Das sollte aber auch keine Auswirkungen auf die DKIM - Signierung haben...
 
Zuletzt bearbeitet:

florian030

Well-Known Member
neutral (message not signed) = die Mail ist nicht signiert.
Übrigens: @inet_acl definiert die IPs, von denen Amavis einen Connect akzeptiert. In der master.cf geht das eigentlich immer über 127.0.0.1

Hast Du ein reconfigure services laufen lassen? Sonst fehlen Dir Änderungen in Amavis und Postfix, damit die Mails signiert werden, die Du über smtp einlieferst.
 

fuxifux

Member
Ich hatte Debian Wheezy mit ISPConfing 3.05...
Dann hab ich ein Upgrade auf Jessie gemacht, und danach ein Update mit reconfigure services von ISPConfig auf stable, aso 3.1
Danach hab ich auch noch ein resync für alle services gemacht.
Es sind zwar während dem Upgrade auf Jessie mehrere Config-File-Abfragen gekommen, aber ich hab auch im gespeicherten SSH-Log des Updates keine für amavis oder postfix gefunden.

Kann man die Änderungen für DKIM einfach selbst in den Config-Files finden bzw. prüfen?
Kann es sein,dass die Änderungen nicht gemacht wurden, weil zum Zeitpunkt des reconfigure Services DKIM noch für keine einzige Domain enabled war?

Edit: das @inet_acl hab ich dann vermutlich deswegen gemacht, weil ich in postfix die sendeadresse festgelegt habe. Ich weiss jedenfalls noch dass vor den Änderungen manchmal Mails auch von den anderen IP's des servers versendet wurden, und damit die reverse-DNS usw nicht gepasst hatten.

Edit2:
Ich hab jetzt nochmal ein update mit reconfigure services gemacht und folgende Meldung erhalten:
Code:
Configuring Postfix
Configuring Dovecot
Configuring Spamassassin
Configuring Amavisd
Configuring Getmail
Configuring BIND
[INFO] haveged not detected - DNSSEC can fail
Configuring Pureftpd
Configuring Apache
Configuring vlogger
Configuring Apps vhost
Configuring Jailkit
Configuring Database
Updating ISPConfig
das dürfte passen, im DNS sind die Einträge ja vorhanden - und DNSSEC steht weiter unten auf meiner ToDo-Liste..
 
Zuletzt bearbeitet:
Auch wenn man einen Schlüssel erzeugt werden mails abgewiesen. Der Schlüssel erscheint zwar bei einer gmail fehlermeldung aber sie erwarten noch eine IPV6 adresse.
Nach Einrichten der IPV6 kommen mails trotzdem zurück.

host gmail-smtp-in.l.google.com[64.233.166.27] said:
550-5.7.1 [91.xxx.xxx.xxx 18] Our system has detected that this
message is 550-5.7.1 likely suspicious due to the very low reputation of
the sending IP 550-5.7.1 address. To best protect our users from spam, the
message has been 550-5.7.1 blocked. Please visit 550 5.7.1
https://support.google.com/mail/answer/188131 for more information.
ql1si22589919wjc.85 - gsmtp (in reply to end of DATA command)
 

fuxifux

Member
@mrairbrush :
Das Problem liegt ja wie oben in der Fehlermeldung steht an dem "sehr niedrigen Ansehen" der sendenden IP-Adresse.
Hast du die IP gegen Blacklists gecheckt:
http://mxtoolbox.com/blacklists.aspx

Wenn man dem Link in der Meldung folgt, kommt man zu den Regeln, die Gmail gerne hätte.
Wenn die Regeln von Gmail jetzt eingehalten werden(und vorher nicht) kann es auch einfach nur dauern.

Zitat aus dem Troubleshooting von Gmail(ich bin nur dem Link gefolgt):
Code:
Wir freuen uns, dass Sie das Problem finden und beheben konnten. 
Beachten Sie bitte, dass es eventuell einige Zeit dauern wird, bis die Reputation Ihrer Domain wiederhergestellt ist, 
und dass es daher noch für einige Zeit zu Problemen bei der Zustellung von E-Mails an Gmail-Nutzer kommen kann. 
Dieses Problem wird sich von selbst lösen, wenn Sie konsequent die Richtlinien in unseren Hinweisen für Bulk-Absender befolgen.
 

florian030

Well-Known Member
Kann man die Änderungen für DKIM einfach selbst in den Config-Files finden bzw. prüfen?
Klar, kannst Du machen. Für Amavis ist das in etwa:
Code:
$inet_socket_port = [10024,10026];
$forward_method = 'smtp:[127.0.0.1]:10025';
$notify_method = 'smtp:[127.0.0.1]:10027';
$interface_policy{'10026'} = 'ORIGINATING';
$policy_bank{'ORIGINATING'} = {originating => 1,smtpd_discard_ehlo_keywords => ['8BITMIME'],forward_method => 'smtp:[127.0.0.1]:10027',};
@mynetworks = qw(0.0.0.0/8 127.0.0.0/8 10.0.0.0/8 172.16.0.0/12 192.168.0.0/16);
$signed_header_fields{'received'} = 0;
$enable_dkim_verification = 1;
$enable_dkim_signing = 1;
@dkim_signature_options_bysender_maps = ({ '.' => { ttl => 21*24*3600, c => 'relaxed/simple' } } );
Ich bin mir aber ziemlich sicher, dass ich dazu noch was in der 3.1 geändert hatte - die Werte gehen aber auch.

Und für postfix kannst Du das hier nachlesen.

Kann es sein,dass die Änderungen nicht gemacht wurden, weil zum Zeitpunkt des reconfigure Services DKIM noch für keine einzige Domain enabled war?
Nein.
 

fuxifux

Member
Ok, das wars.
Irgendwas hat anscheinend ISPConfig daran gehindert, die main.cf und die /etc/amavis/conf.d/50-user zu ändern.
(eventuell auch meine eigenen Änderungen)
Nachdem ich die Änderungen eingefügt habe und amavis und postfix neu gestartet habe läuft's!
Hilfreich wäre eventuell, wenn das ISPConfig-Update das scheitern solcher Änderungen melden würde. Oder gibt's da auch einen debug-Modus oder logfiles, den/die ich übersehen habe?

Jedenfalls vielen Dank für die Hilfe!

Edit:
Die Datei "/etc/amavis/50-user~" ist nach dem update mit reconfigure services übrig geblieben.
kann da auch ein Dateirechteproblem vorliegen?
Edit2:
Auch im Verzeichnis: "/etc/postfix/" sind eine Menge Dateien mit angehängtem ~ zu finden.
Edit3:
Das /var/log/ispconfig_install.log hab ich jetzt auch gefunden ;) da sind bei mir allerdings nur solche zeilen drin:
Code:
Fri Oct 7 18:25:58 CEST 2016 - [ISPConfig] - /tmp/ispconfig3_install/install/lib/installer_base.lib.php, Line 997: EXECUTED: postconf -e alias_maps = hash:/etc/aliases, hash:/var/lib/mailman/data/aliases
Fri Oct 7 18:25:58 CEST 2016 - [ISPConfig] - /tmp/ispconfig3_install/install/lib/installer_base.lib.php, Line 997: EXECUTED: postconf -e alias_database = hash:/etc/aliases, hash:/var/lib/mailman/data/aliases
Fri Oct 7 18:25:58 CEST 2016 - [ISPConfig] - /tmp/ispconfig3_install/install/lib/installer_base.lib.php, Line 997: EXECUTED: postconf -e virtual_alias_domains =
Da deutet nichts auf eventuelle Fehler hin...
 
Zuletzt bearbeitet:

fuxifux

Member
So, jetzt hab ich den eigentlichen Fehler gefunden:
Im Rahmen der Festlegung des Mailservers auf 1 IP habe ich in einer älteren ISPConfig Version conf-custom - Dateien für Postfix und amavis angelegt.
Die haben beim update auf 3.1 natürlich alle Neuerungen in den config-Dateien von psotfix und amavis wieder rückgängig gemacht.

Jetzt stellt sich nur mehr die eine Frage: gibt es einen einfacheren Weg, den Server zu zwingen, Mails per smtp nur von einer bestimmten ip(nämlich der die zu server.domain.tld gehört) zu senden?
 
Zuletzt bearbeitet:

fuxifux

Member
Stimmt, die main.cf habe ich jetzt ändern können ohne custom conf.

Nur funktioniert dann bei mir amavis nicht mehr:
Ohne die angabe der per smtp_bind_address festgelegten IP in der 50-user unter @inet_acl bekomme ich beim versenden von Mails folgende Meldung im mail.log:
Code:
Oct  8 10:56:15 server amavis[5303]: (!)DENIED ACCESS from IP xx.xx.xx.xx, policy bank 'ORIGINATING'
Mails werden nicht zugestellt.

Und für die Änderung von @inet_acl benötige ich wieder eine conf-custom, da die im template von 3.1 fest gelegt wird.

Super wäre natürlich, wenn ich das irgendwie anders lösen könnte.
 

fuxifux

Member
Ich weiß zwar nicht, ob meine neue Lösung tatsächlich sauber ist aber immerhin:
ich hab jetzt im Verzeichnis "/etc/amavis/conf.d" die Datei: "55-postfix_smtp_bind_address" mit folgendem Inhalt erstellt:
Code:
use strict;

#Das file ist nur für die Festlegung auf eine Sende-IP in der main.cf von Postfix nötig
#======================================================================================
# Allow SMTP access from IPs in @inet_acl to amvisd SMTP Port
@inet_acl = qw( 127.0.0.1 [::1] IP.IP.IP.IP );


#------------ Do not modify anything below this line -------------
1;  # insure a defined return
statt IP.IP.IP.IP hab ich die IP eingesetzt, auf die postfix per smtp_bind_address festgelegt wurde.

So kann ich auf die custom config verzichten und ändere in amavis ausschließlich den Eintrag, der mich am korrekten Mailversand hindert.

Hoffentlich kann ich mit der Lösung das eine oder ander Update schadlos überstehen :)
 
Zuletzt bearbeitet:

florian030

Well-Known Member
Die Datei wird beim Update nicht geändert. Ich verstehe nur nicht, warum amavis auf die public-ip des mailservers reagieren soll. Warum machst Du die connects zu amavis nicht über localhost?
 

Werbung

Top