postfix: DKIM

2

Schon mal was von DKIM gehört? Ich ehrlich gesagt bis gestern Abend auch noch nicht – „man kann nicht alles wissen, aber man kann alles lernen“.

DKIM ist ein von Yahoo entwickeltes Verfahren, eMails mit einer Signatur zu versehen, die es dem Empfänger ermöglicht, eindeutig festzustellen, ob eine eMail wirklich vom angeblichen Absender kommt. Bei der Verwendung von DKIM signiert der Absender seine eMails und stellt den öffentlichen Schlüssel über den TXT-Record der gleichen Domain bereit. Der Empfänger kann anschließend beim Empfang der eMail über die Signatur und den Schlüssel im DNS die Echtheit der eMail verifizieren.

Weiter Informationen zu DKIM: http://de.wikipedia.org/wiki/DomainKeys

Erstellung der Schlüssel und des TXT-Records

Zur Erstellung der Schlüssels sowie des TXT-Records gibt es ein script von Ralf Hildebrandt und Patrick Koetter

DKIM Signierung

Die Einrichtung von DKIM für Postfix zur Signierung habe ich selbst noch nicht durchgeführt. Es scheint aber so, als ob es in Debian Etch nicht so einfach installiert werden kann, denn:

  • in Debian Etch 4.0 ist dkim-milter noch nicht als Paket verfügbar. In Debian Lenny schon.
  • für die Integration von DKIM über amavisd-new muss mind. die Version 2.6 (Juni 2008) eingesetzt werden. Dies ist bei Debian Etch nicht der Fall. In Debian Lenny wird die Version 1.2.6.1 verfügbar sein.

prüfen der DKIM Signatur mit Spamassassin

Die DKIM Signatur selbst kann jedoch bereits schon mit Debian Etch geprüft und bewertet werden.

Dazu muss zuerst das Plugin in der Datei v320.pre aktiviert werden:

loadplugin Mail::SpamAssassin::Plugin::DKIM

Anschließend noch die Bewertung in der local.cf definieren:

score DKIM_VERIFIED             -3
score DKIM_SIGNED               1.5
score DKIM_POLICY_SIGNALL       0
score DKIM_POLICY_SIGNSOME      0
score DKIM_POLICY_TESTING       -1
score USER_IN_DKIM_WHITELIST    -4.0
whitelist_from_dkim @blog.cscholz.io

Machen Sie auf KEINE Fall den Fehler, DKIM/DomainKey signiert E-Mails als starkes Kriterium für die Spamerkennung zu verwenden. Auch Spammer können ihre E-Mails signieren. Sinn macht meiner Meinung nach aber, signiert E-Mails erstmal negativ zu bewerden, bis die Signierung verifiziert wurde.

DKIM <-> SYSCP

Für SysCP gibt es auch einen entsprechenden Patch für die Version 1.2.19
http://www.roessner-net.com/syscp-patches/

Ab Version 1.4.2 ist DKIM fest integriert.

Weitere Links

Teilen.

Über den Autor

Seit der Ausbildung zum Fachinformatiker Systemintegration (2002-2005) bei der DaimlerChrysler AG, beruflich im Bereich der E-Mail Kommunikation (Exchange, Linux) sowie des ActiveDirectory, mit entsprechenden Zertifizierungen (MCSE 2003, MCITP Ent.-Admin 2008, MCSE 2012, LPIC 1-3) tätig. Abgeschlossenes Studium zum Master of Science der IT-Management an der FOM sowie zertifizierter Datenschutzbeauftragter. Aktuell im Projektmanagement tätig.

2 Kommentare

  1. Pingback: SysCP: DKIM mit SysCP 1.4.2 @ .: blog.cscholz.io :.

  2. Pingback: DKIM/DomainKey Schlüssel erstellen und veröffentlichen @ .: blog.cscholz.io :.

Antworten