https://www.opennet.ru/openforum/vsluhforumID1/96371.html Centos<br>Установлен PostFIX, есть fail2ban. Установили OpenDKIM.<br><br>Все настроили в соответствии с мануалом.<br>На проверку работает отлично - спам значительно уменьшается.<br>На подписывание отправляемых сообщений - не указываются в заголовках DKIM-Signature, указывает только строчку DKIM-Filter: OpenDKIM Filter v2.9.0 domain.ru E8583157AAC <br><br>В логах maillog есть записи такого плана:<br><br>Nov 16 01:08:33 smtp opendkim[17226]: OpenDKIM Filter: mi_stop=1<br>Nov 16 01:08:33 smtp opendkim[17226]: OpenDKIM Filter v2.9.0 terminating with status 0, errno = 0<br>Nov 16 01:08:36 smtp opendkim[18463]: OpenDKIM Filter v2.9.0 starting (args: -x /etc/opendkim.conf -P /var/run/opendkim/opendkim.pid)<br>Nov 16 01:08:41 smtp opendkim[18463]: OpenDKIM Filter: mi_stop=1<br>Nov 16 01:08:41 smtp opendkim[18463]: OpenDKIM Filter v2.9.0 terminating with status 0, errno = 0<br>Nov 16 01:08:41 smtp opendkim[18484]: OpenDKIM Filter v2.9.0 starting (args: -x /etc/opendkim.conf -P /var/run/opendkim/opendkim.pid)<br>Nov 16 01:08:54 smtp opendkim[18484 https://www.opennet.ru/openforum/vsluhforumID1/96371.html#27 Mon, 27 Sep 2021 23:04:30 GMT &gt;[оверквотинг удален]<br>&gt;&gt; был аутентифицирован (исправляем "not authenticated") нужно в opendkim.conf добавить: <br>&gt;&gt; Mode vs <br>&gt; Всем привет.<br>&gt; Перепробовал уже все, что только можно, не подписывает, и все.<br>&gt; Смысл такой: локальная почта (отсылаемая с самого сервера, например, из скриптов или <br>&gt; через веб-мэйл) подписывается норм, а внешние почтовые клиенты (аутлук, Зэ Бат <br>&gt; и проч) ни в какую.<br>&gt; Если прописать айпи, на котором почтовый клиент, в TrustedHosts, то тоже подписывается. <br>&gt; Как сделать, чтобы все внешние клиенты подписывались?<br>&gt; Используется настройки key table и signing table <br><br>Эврика! Я нашел, правда для своего случая, но вектор годный!!! Кому будет интересно, в opendkim.conf есть такая директива MacroList ее смысл, как я уловил в том чтобы расширить критерии для определения какие письма идут изнутри, т.е. требуют подписи. Эти макро, передает в opendkim через протокол milter MTA. Для sendmail-а это выглядит так:<br><br>[root@cloud mail]# grep Milter *.cf<br>sendmail.cf:O Milter.macros.c https://www.opennet.ru/openforum/vsluhforumID1/96371.html#26 Thu, 08 Aug 2019 08:57:14 GMT У меня похожая проблема. Только внутренние адреса идентифицирует not internal.<br>Пробовал в файле TrustedHosts указать всю локальную сесть через CIDR. Не работает! Пришлось прописать все компьютеры сети. <br>Есть подозрение, что надо поиграться с файлом /etc/hosts.<br><br>А в вашем случае, возможно, надо весь интернет прописать как внутренний :)<br> https://www.opennet.ru/openforum/vsluhforumID1/96371.html#25 Fri, 21 Apr 2017 16:08:41 GMT &gt; Хоть и старая ветка, но добавлю сюда: <br>&gt; Чтобы opendkim подписывал не только письма с тех IP, которые указаны как <br>&gt; Internal, а и те, которые отправлены с любых IP но пользователь <br>&gt; был аутентифицирован (исправляем "not authenticated") нужно в opendkim.conf добавить: <br>&gt; Mode vs <br><br>Всем привет.<br>Перепробовал уже все, что только можно, не подписывает, и все.<br>Смысл такой: локальная почта (отсылаемая с самого сервера, например, из скриптов или через веб-мэйл) подписывается норм, а внешние почтовые клиенты (аутлук, Зэ Бат и проч) ни в какую.<br>Если прописать айпи, на котором почтовый клиент, в TrustedHosts, то тоже подписывается.<br>Как сделать, чтобы все внешние клиенты подписывались?<br>Используется настройки key table и signing table <br> https://www.opennet.ru/openforum/vsluhforumID1/96371.html#24 Tue, 21 Jun 2016 09:51:47 GMT Хоть и старая ветка, но добавлю сюда:<br>Чтобы opendkim подписывал не только письма с тех IP, которые указаны как Internal, а и те, которые отправлены с любых IP но пользователь был аутентифицирован (исправляем "not authenticated") нужно в opendkim.conf добавить:<br>Mode vs<br><br> https://www.opennet.ru/openforum/vsluhforumID1/96371.html#23 Tue, 17 Nov 2015 08:12:28 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;&gt; результат тот же: Одна запись в заголовке DKIM-Filter: OpenDKIM Filter v2.9.0 <br>&gt;&gt;&gt;&gt; domain.ru 4E39A157B1D <br>&gt;&gt;&gt; А адрес с которого шлется прописан в /etc/opendkim-internal-hosts?<br>&gt;&gt;&gt; 172.17.188.179?<br>&gt;&gt;&gt; Что теперь пишет в логах постфикса и опендким?<br>&gt;&gt; Письма отправляются с этого же сервера, т.е. 127.0.0.1 <br>&gt;&gt; Он, конечно, прописан.<br>&gt; Удивительно, но когда добавили IP компа на котором стоит почтовая программа - <br>&gt; стал подписывать! Т.е. получается нужно разрешить всем экстернальным и выборочным интернальным <br>&gt; хостам?<br><br>Да, подписываться будут только те сети, которые прописаны в internal-hosts.<br>Остальное лежит на плечах системных админов и почтовых мастеров. Что бы не было тех сетей которые не ваши существует куча методов... От sasl авторизаций до всяких там выпыэнов и внутренних сетей...<br> https://www.opennet.ru/openforum/vsluhforumID1/96371.html#22 Tue, 17 Nov 2015 07:51:51 GMT &gt; А почтовая программа - это не почтовый клиент?<br><br>нет, почтовой программой можно назвать любую программу которая работает с почтой. не важно, отправляет, сортирует, фильтрирует, проверяет на вирусы и т.д.<br><br>&gt; но вы помогаете или самоутверждаетесь здесь? <br><br>самоутрвеждаться мне не нужно, я тут чтобы таким как вы открыть глаза, чтобы понимали что делали, а не в тупую по какой нить инструкции копи-пастом<br><br>&gt; Однако DKIM призван удостоверять, что почта отправлена <br>&gt; именно с этого домена. А кто ее отправил - совершенно не <br>&gt; важно.<br><br>идите читайте:<br><br>http://opendkim.org/opendkim.conf.5.html (InternalHosts)<br>https://en.wikipedia.org/wiki/DomainKeys_Identified_Mail<br>https://ru.wikipedia.org/wiki/DomainKeys_Identified_Mail<br><br>потому и называется "DomainKeys" Identified Mail (переводчик в помощь) и не спорьте!<br><br>&gt;Следуя вашей логике, мне нужно всех пользователей аутлуков и других ПОЧТОВЫХ КЛИЕНТОВ &gt;завести в этот файл. А если они меняются динамически?<br><br>если указан KeyTable и SigningTable то директива Domain * https://www.opennet.ru/openforum/vsluhforumID1/96371.html#21 Tue, 17 Nov 2015 07:43:01 GMT &gt;[оверквотинг удален]<br>&gt; POP3/IMAP клиент типа Outlook, Thunderbird и все такое?<br>&gt; суть DKIM в том чтобы подписывать исходящие сообщения "отправителя" c цифровой подписью <br>&gt; связанную с именем домена(вашем примере domen.ru). ведь клиент который отправляет письмо <br>&gt; не сидит же на самом сервере SMTP <br>&gt; простыми словами, ваш IP 172.17.188.179 который используя POP3 протокол получает письма <br>&gt; от сервера x.domen.ru и отправляет письма тоже через SMTP протокол x.domen.ru <br>&gt; и вы директивой InternalHosts указываете чтобы все письма от них подписывались <br>&gt; подписью домена. в этот список вы Ивана из Gmail или африканской <br>&gt; республики не добавляете, только те пользователи или системы, которые через ваш <br>&gt; SMTP отправляют письма от имени @domain.ru <br><br>А почтовая программа - это не почтовый клиент? За подсказку, конечно, спасибо, но вы помогаете или самоутверждаетесь здесь? Мы в курсе про протоколы и принципы работы почты. Однако DKIM призван удостоверять, что почта отправлена именно с этого домена. А кто е https://www.opennet.ru/openforum/vsluhforumID1/96371.html#20 Tue, 17 Nov 2015 07:31:45 GMT &gt; Удивительно, но когда добавили IP компа на котором стоит почтовая программа - <br>&gt; стал подписывать! Т.е. получается нужно разрешить всем экстернальным и выборочным интернальным <br>&gt; хостам?<br><br>что за "почтовая программа"? вы IT специалист или кто? может имели ввиду POP3/IMAP клиент типа Outlook, Thunderbird и все такое?<br><br>суть DKIM в том чтобы подписывать исходящие сообщения "отправителя" c цифровой подписью связанную с именем домена(вашем примере domen.ru). ведь клиент который отправляет письмо не сидит же на самом сервере и не через webmail какой нибудь.<br><br>простыми словами, ваш IP 172.17.188.179 который используя POP3 протокол получает письма от сервера x.domen.ru и отправляет письма тоже через SMTP протокол x.domen.ru и вы директивой InternalHosts указываете чтобы все письма от них подписывались подписью домена. в этот список вы Ивана из Gmail или африканской республики не добавляете, только те пользователи или системы, которые через ваш SMTP отправляют письма от имени @domain.ru<br><br> https://www.opennet.ru/openforum/vsluhforumID1/96371.html#19 Tue, 17 Nov 2015 07:05:32 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;&gt; 11.22.33.44 <br>&gt;&gt;&gt; Попробовали. Сначала ругался на то, что владельцем папок /etc/opendkim /etc/opendkim/keys <br>&gt;&gt;&gt; (путь к ключу) не является root. Установили. Запустился, тестируем - <br>&gt;&gt;&gt; результат тот же: Одна запись в заголовке DKIM-Filter: OpenDKIM Filter v2.9.0 <br>&gt;&gt;&gt; domain.ru 4E39A157B1D <br>&gt;&gt; А адрес с которого шлется прописан в /etc/opendkim-internal-hosts?<br>&gt;&gt; 172.17.188.179?<br>&gt;&gt; Что теперь пишет в логах постфикса и опендким?<br>&gt; Письма отправляются с этого же сервера, т.е. 127.0.0.1 <br>&gt; Он, конечно, прописан.<br><br>Удивительно, но когда добавили IP компа на котором стоит почтовая программа - стал подписывать! Т.е. получается нужно разрешить всем экстернальным и выборочным интернальным хостам?<br><br><br>