Schon mal was von DKIM gehört? Ich ehrlich gesagt bis gestern Abend auch noch nicht – „man kann nicht alles wissen, aber man kann alles lernen“.
DKIM ist ein von Yahoo entwickeltes Verfahren, eMails mit einer Signatur zu versehen, die es dem Empfänger ermöglicht, eindeutig festzustellen, ob eine eMail wirklich vom angeblichen Absender kommt. Bei der Verwendung von DKIM signiert der Absender seine eMails und stellt den öffentlichen Schlüssel über den TXT-Record der gleichen Domain bereit. Der Empfänger kann anschließend beim Empfang der eMail über die Signatur und den Schlüssel im DNS die Echtheit der eMail verifizieren.
Weiter Informationen zu DKIM: http://de.wikipedia.org/wiki/DomainKeys
Erstellung der Schlüssel und des TXT-Records
Zur Erstellung der Schlüssels sowie des TXT-Records gibt es ein script von Ralf Hildebrandt und Patrick Koetter
DKIM Signierung
Die Einrichtung von DKIM für Postfix zur Signierung habe ich selbst noch nicht durchgeführt. Es scheint aber so, als ob es in Debian Etch nicht so einfach installiert werden kann, denn:
- in Debian Etch 4.0 ist dkim-milter noch nicht als Paket verfügbar. In Debian Lenny schon.
- für die Integration von DKIM über amavisd-new muss mind. die Version 2.6 (Juni 2008) eingesetzt werden. Dies ist bei Debian Etch nicht der Fall. In Debian Lenny wird die Version 1.2.6.1 verfügbar sein.
prüfen der DKIM Signatur mit Spamassassin
Die DKIM Signatur selbst kann jedoch bereits schon mit Debian Etch geprüft und bewertet werden.
Dazu muss zuerst das Plugin in der Datei v320.pre aktiviert werden:
loadplugin Mail::SpamAssassin::Plugin::DKIM
Anschließend noch die Bewertung in der local.cf definieren:
score DKIM_VERIFIED -3 score DKIM_SIGNED 1.5 score DKIM_POLICY_SIGNALL 0 score DKIM_POLICY_SIGNSOME 0 score DKIM_POLICY_TESTING -1 score USER_IN_DKIM_WHITELIST -4.0 whitelist_from_dkim @blog.cscholz.io
Machen Sie auf KEINE Fall den Fehler, DKIM/DomainKey signiert E-Mails als starkes Kriterium für die Spamerkennung zu verwenden. Auch Spammer können ihre E-Mails signieren. Sinn macht meiner Meinung nach aber, signiert E-Mails erstmal negativ zu bewerden, bis die Signierung verifiziert wurde.
DKIM <-> SYSCP
Für SysCP gibt es auch einen entsprechenden Patch für die Version 1.2.19
http://www.roessner-net.com/syscp-patches/
Ab Version 1.4.2 ist DKIM fest integriert.
Weitere Links
- SPF, DKIM und Greylisting von Peer Heinlein
- http://www.dkim.org/
- http://jason.long.name/dkfilter/ (Postfix Version)
- http://anothersysadmin.wordpress.com/2008/01/16/domainkeysdkim-with-postfix/
- http://www.ijs.si/software/amavisd/amavisd-new-docs.html#dkim
- http://www.howtoforge.com/postfix-dkim-with-dkim-milter-centos5.1
- http://postfix.state-of-mind.de/amavisd.pdf
- http://www.msexchangefaq.de/spam/filter-dkim.htm
2 Kommentare
Pingback: SysCP: DKIM mit SysCP 1.4.2 @ .: blog.cscholz.io :.
Pingback: DKIM/DomainKey Schlüssel erstellen und veröffentlichen @ .: blog.cscholz.io :.