Tachtler's DokuWiki

Homepage | Kontakt | Rechtliche Informationen | Impressum

Benutzer-Werkzeuge

Webseiten-Werkzeuge

Zuletzt angesehen:
tachtler:postfix_amavis_dkim_einsetzen

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen RevisionVorhergehende Überarbeitung
Nächste Überarbeitung		Vorhergehende Überarbeitung
tachtler:postfix_amavis_dkim_einsetzen [2014/03/09 08:49] klaustachtler:postfix_amavis_dkim_einsetzen [2014/03/14 09:10] (aktuell) – [Received: from] klaus
Zeile 15: Zeile 15:
 ===== Konfiguration ===== ===== Konfiguration =====
  
-:!: **DANKSAGUNG** - Dieser [[http://www.splitbrain.org/projects/dokuwiki|DokuWiki]] ist mit außerordentlicher Unterstützung von Michi entstanden - siehe [[http://dokuwiki.nausch.org|DokuWiki @ nausch.org]]!+:!: **DANKSAGUNG** - Dieser [[http://www.splitbrain.org/projects/dokuwiki|DokuWiki]] ist mit außerordentlicher Unterstützung von Michael Nausch entstanden - siehe [[http://dokuwiki.nausch.org|DokuWiki @ nausch.org]]!
  
 ==== Schlüsselverzeichnis erstellen ==== ==== Schlüsselverzeichnis erstellen ====
Zeile 265: Zeile 265:
 Starting Mail Virus Scanner (amavisd):                      OK  ] Starting Mail Virus Scanner (amavisd):                      OK  ]
 </code> </code>
 +
 +===== Konfiguration DKIM ====
 +
 +==== Received-Zeilen ausnehmen ====
 +
 +Laut [[http://www.ietf.org/rfc/rfc4871.txt|RFC 4871]] können auch die 
 +  * **''Received: from''**-Zeilen
 +zur Signierung der e-Mail mit herangezogen werden.
 +
 +Dies hat jedoch den **Nachteil**, dass bei einer Veränderung der **''Received: from''**-Zeilen im **Nachhinein**, wie es z.B. bei der **Einlieferung durch [[http://www.postfix.org/|Postfix]] via ''smtpd_proxy_filter'' (Pre-Queue) bei [[http://www.ijs.si/software/amavisd/|AMaViS]] der Fall sein könnte**, die DKIM-Sigantur sprichwörtlich "kaputt" geht. Siehe nachfolgenden Auszug aus den Header-Zeilen (**nur relevanter Ausschnitt**):
 +<code>
 +...
 +Authentication-Results: viruswall.dmz.tachtler.net (amavisd-new);
 + dkim=fail (1024-bit key) reason="fail (message has been altered)"
 + header.d=tachtler.net
 +...
 +</code>
 +
 +Dies kann durch hinzufügen von nachfolgender Konfigurationszeile in die
 +  * ''/etc/amavisd.conf''
 +<code>
 +$signed_header_fields{'received'} = 0;  # turn off signing of Received
 +</code>
 +verhindert werden, indem die **''Received: from''**-Zeilen **__nicht__** mehr mit in die Berechnung der DKIM-Signatur mit einfließen.
  
 ===== Test DKIM ===== ===== Test DKIM =====
Zeile 304: Zeile 328:
 ;; WHEN: Sun Mar  9 08:48:07 2014 ;; WHEN: Sun Mar  9 08:48:07 2014
 ;; MSG SIZE  rcvd: 286 ;; MSG SIZE  rcvd: 286
-<code>+</code>
 * //Anfrage z.B. an den [[http://www.google.de|Google DNS-Servers]] ! // * //Anfrage z.B. an den [[http://www.google.de|Google DNS-Servers]] ! //
  
Zeile 321: Zeile 345:
  KenY0BIV4rLgWIjqkdCFeW40IgxNj3ur5WNxHPxJWGdpLGtP+SPJYBRM/EM=  KenY0BIV4rLgWIjqkdCFeW40IgxNj3ur5WNxHPxJWGdpLGtP+SPJYBRM/EM=
 ... ...
 +</code>
 +
 +Der empfangende Mailserver ist mit Hilfe des **Authentication-Results:-Header** in der Lage festzustellen, ob die eMail unverändert angekommen und somit __nicht__ manipuliert wurde:
 +<code>
 +Authentication-Results: viruswall.dmz.tachtler.net (amavisd-new);
 + dkim=pass (4096-bit key) header.d=nausch.org
 +</code>
 +
 +Wurde die Nachricht hingegen verändert, so schlägt die Überprüfung fehl:
 +<code>
 +Authentication-Results: viruswall.dmz.tachtler.net (amavisd-new);
 + dkim=fail (1024-bit key) reason="fail (message has been altered)"
 + header.d=tachtler.net
 </code> </code>
  
tachtler/postfix_amavis_dkim_einsetzen.1394351370.txt.gz · Zuletzt geändert: 2014/03/09 08:49 von klaus