如何在 Debian Wheezy 上使用 Postfix 安装和配置 DKIM

本文涉及的产品
全局流量管理 GTM,标准版 1个月
云解析 DNS,旗舰版 1个月
公共DNS(含HTTPDNS解析),每月1000万次HTTP解析
简介: 如何在 Debian Wheezy 上使用 Postfix 安装和配置 DKIM

介绍

对于大多数邮件服务器管理员来说,被错误地标记为垃圾邮件发送者的沮丧并不陌生。除了排除服务器被入侵的可能性外,虚假标记通常是由以下原因之一引起的:

  • 服务器是一个开放的邮件中继
  • 发件人或服务器的 IP 地址被列入黑名单
  • 服务器没有完全合格的域名(FQDN)和 PTR 记录
  • 缺少 Sender Policy Framework(SPF)DNS 记录或配置错误
  • 缺少 DomainKeys Identified Mail(DKIM)实现或未正确设置

这些是大多数专有和开源垃圾邮件过滤器(包括 SpamAssassin)检查的一些基本属性。通过这些测试对于配置良好的邮件服务器来说非常重要。

本教程将重点介绍安装和配置 OpenDKIM:DKIM 发件人身份验证系统的开源实现。

假定读者知道如何通过 SSH 访问服务器,已经安装和配置了 Postfix 和 Dovecot(教程),主机名和 FQDN 已设置(教程,教程),并且 SPF 记录已经就位(教程)。

关于 DKIM

DKIM 是一种互联网标准,它使个人或组织能够将域名与电子邮件消息关联起来。实际上,这相当于一种声明对消息负责的方法。在其核心,DKIM 由非对称加密驱动。发件人的邮件传输代理(MTA)使用私钥对每个发出的消息进行签名。收件人从发件人的 DNS 记录中检索公钥,并验证自消息签名以来消息正文和一些标头字段是否未被更改。

安装 OpenDKIM

在开始安装之前,建议进行系统更新:

sudo apt-get update
sudo apt-get dist-upgrade

安装 OpenDKIM 及其依赖项:

sudo apt-get install opendkim opendkim-tools

附加软件包将列在依赖项中,输入 yes 并按 Enter 继续。

配置 OpenDKIM

为了配置 OpenDKIM,必须创建并编辑一些文件。

Nano 将被用作编辑器,因为它默认安装在 DigitalOcean droplets 上,并且操作简单:

  • 使用箭头键进行导航
  • 不保存更改退出:按 CTRL + X,然后按 N
  • 保存更改并退出:按 CTRL + X,然后按 Y,最后按 Enter

重要提示:在所有命令和配置文件中,将每个示例中的 example.com 替换为您自己的域名。编辑后不要忘记保存文件。

让我们从主配置文件开始:

sudo nano /etc/opendkim.conf

将以下行追加到 conf 文件的末尾(下面解释了每个参数)。可选择自定义端口号作为 Socket。确保它没有被其他应用程序使用。

AutoRestart             Yes
AutoRestartRate         10/1h
UMask                   002
Syslog                  yes
SyslogSuccess           Yes
LogWhy                  Yes
Canonicalization        relaxed/simple
ExternalIgnoreList      refile:/etc/opendkim/TrustedHosts
InternalHosts           refile:/etc/opendkim/TrustedHosts
KeyTable                refile:/etc/opendkim/KeyTable
SigningTable            refile:/etc/opendkim/SigningTable
Mode                    sv
PidFile                 /var/run/opendkim/opendkim.pid
SignatureAlgorithm      rsa-sha256
UserID                  opendkim:opendkim
Socket                  inet:12301@localhost
  • AutoRestart:在失败时自动重新启动过滤器
  • AutoRestartRate:指定过滤器的最大重新启动速率,如果重新启动速度超过此速率,过滤器将终止;10/1h - 最多允许每小时重新启动 10 次
  • UMask:为 UserID 定义的用户组赋予所有访问权限,并允许其他用户读取和执行文件,这将允许创建和修改 Pid 文件
  • SyslogSyslogSuccessLogWhy:这些参数通过调用 syslog 启用详细日志记录
  • Canonicalization:定义消息签名时使用的规范化方法,simple 方法几乎不允许修改,而 relaxed 方法容忍轻微更改,如空格替换;relaxed/simple - 消息标头将使用 relaxed 算法处理,正文将使用 simple 算法处理
  • ExternalIgnoreList:指定可以作为签名域之一发送邮件的外部主机,无需凭据
  • InternalHosts:定义不应验证但应签名的内部主机列表
  • KeyTable:将密钥名称映射到签名密钥
  • SigningTable:根据 From: 标头字段中找到的地址列出要应用于消息的签名
  • Mode:声明操作模式;在本例中,milter 作为签名者(s)和验证者(v
  • PidFile:包含进程标识号的 Pid 文件路径
  • SignatureAlgorithm:创建签名时选择要使用的签名算法
  • UserID:opendkim 进程以此用户和组运行
  • Socket:milter 将在此处指定的套接字上监听,Postfix 将通过此套接字向 opendkim 发送消息进行签名和验证;12301@localhost 定义了在 localhost 上监听的 TCP 套接字,端口为 12301

此简单配置旨在允许一个或多个域的消息签名。要了解其他选项,请参阅此处。

连接 milter 到 Postfix:

sudo nano /etc/default/opendkim

添加以下行,仅在使用自定义端口时编辑端口号:

SOCKET="inet:12301@localhost"

配置 postfix 使用此 milter:

sudo nano /etc/postfix/main.cf

确保以下两行存在于 Postfix 配置文件中,并且没有被注释掉:

milter_protocol = 2
milter_default_action = accept

很可能 Postfix 已经使用了过滤器(如 SpamAssasin、Clamav 等);如果以下参数已存在,只需将 opendkim milter 追加到它们(多个 milter 用逗号分隔),端口号应与 opendkim.conf 中的相同:

smtpd_milters = unix:/spamass/spamass.sock, inet:localhost:12301
non_smtpd_milters = unix:/spamass/spamass.sock, inet:localhost:12301

如果参数缺失,按以下方式定义它们:

smtpd_milters = inet:localhost:12301
non_smtpd_milters = inet:localhost:12301

创建一个将保存受信任主机、密钥表、签名表和加密密钥的目录结构:

sudo mkdir /etc/opendkim
sudo mkdir /etc/opendkim/keys

指定受信任主机:

sudo nano /etc/opendkim/TrustedHosts

我们将使用此文件来定义 ExternalIgnoreListInternalHosts,来自这些主机、域和 IP 地址的消息将受信任并签名。

由于我们的主配置文件将 TrustedHosts 声明为正则表达式文件(refile),我们可以使用通配符模式,*.example.com 表示来自 example.com 的子域的消息也将受信任,而不仅仅是从根域发送的消息。

自定义并添加以下行到新创建的文件。可以指定多个域,不要编辑前三行:

127.0.0.1
localhost
192.168.0.1/24
*.example.com
#*.example.net
#*.example.org

创建一个密钥表:

sudo nano /etc/opendkim/KeyTable

密钥表包含每个选择器/域对及其私钥路径。任何字母数字字符串都可以用作选择器,在此示例中使用了 mail,并且不需要更改它。

mail._domainkey.example.com example.com:mail:/etc/opendkim/keys/example.com/mail.private
#mail._domainkey.example.net example.net:mail:/etc/opendkim/keys/example.net/mail.private
#mail._domainkey.example.org example.org:mail:/etc/opendkim/keys/example.org/mail.private

创建一个签名表:

sudo nano /etc/opendkim/SigningTable

此文件用于声明域/电子邮件地址及其选择器。

*@example.com mail._domainkey.example.com
#*@example.net mail._domainkey.example.net
#*@example.org mail._domainkey.example.org

生成公钥和私钥

切换到密钥目录:

cd /etc/opendkim/keys

为该域创建一个单独的文件夹来保存密钥:

sudo mkdir example.com
cd example.com

生成密钥:

sudo opendkim-genkey -s mail -d example.com

-s 指定选择器,-d 指定域,该命令将创建两个文件,mail.private 是私钥,mail.txt 包含公钥。

将私钥的所有者更改为 opendkim

sudo chown opendkim:opendkim mail.private

将公钥添加到域的 DNS 记录

打开 mail.txt

sudo nano -$ mail.txt

公钥在 p 参数下定义。请不要使用下面的示例密钥,这只是一个示例,不会在您的服务器上起作用。

mail._domainkey IN TXT "v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC5N3lnvvrYgPCRSoqn+awTpE+iGYcKBPpo8HHbcFfCIIV10Hwo4PhCoGZSaKVHOjDm4yefKXhQjM7iKzEPuBatE7O47hAx1CJpNuIdLxhILSbEmbMxJrJAG0HZVn8z6EAoOHZNaPHmK2h4UUrjOG8zA5BHfzJf7tGwI+K619fFUwIDAQAB" ; ----- DKIM key mail for example.com

复制该密钥并向您的域的 DNS 条目添加一个 TXT 记录:

  • 名称: mail._domainkey.example.com.
  • 文本: “v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC5N3lnvvrYgPCRSoqn+awTpE+iGYcKBPpo8HHbcFfCIIV10Hwo4PhCoGZSaKVHOjDm4yefKXhQjM7iKzEPuBatE7O47hAx1CJpNuIdLxhILSbEmbMxJrJAG0HZVn8z6EAoOHZNaPHmK2h4UUrjOG8zA5BHfzJf7tGwI+K619fFUwIDAQAB”

请注意,DNS 更改可能需要几个小时才能传播。

重新启动 Postfix 和 OpenDKIM:

sudo service postfix restart
sudo service opendkim restart

恭喜!您已成功为邮件服务器配置了 DKIM!

可以通过向 check-auth@verifier.port25.com 发送一封空邮件来测试配置,并将收到一封回复。如果一切正常,您应该在“结果摘要”下看到 DKIM check: pass

==========================================================
Summary of Results
==========================================================
SPF check:          pass
DomainKeys check:   neutral
DKIM check:         pass
Sender-ID check:    pass
SpamAssassin check: ham

或者,您可以向您控制的 Gmail 地址发送一封消息,在 Gmail 收件箱中查看收到的电子邮件的标头,Authentication-Results 标头字段中应该存在 dkim=pass

Authentication-Results: mx.google.com;
       spf=pass (google.com: domain of contact@example.com designates --- as permitted sender) smtp.mail=contact@example.com;
       dkim=pass header.i=@example.com;


目录
相关文章
|
1月前
|
Ubuntu
ubuntu和debian 的安装包dpkg管理命令对安装包进行安装,查询,卸载
Ubuntu dpkg 软件包管理命令概览:安装、卸载、查看和配置软件包。包括解决依赖、强制卸载、列出及过滤已安装包、查看包详情等操作。
64 10
|
1月前
|
Ubuntu Shell 开发工具
ubuntu/debian shell 脚本自动配置 gitea git 仓库
这是一个自动配置 Gitea Git 仓库的 Shell 脚本,支持 Ubuntu 20+ 和 Debian 12+ 系统。脚本会创建必要的目录、下载并安装 Gitea,创建 Gitea 用户和服务,确保 Gitea 在系统启动时自动运行。用户可以选择从官方或小绿叶技术博客下载安装包。
63 2
|
2月前
|
Oracle Java 关系型数据库
在 Debian 12 上安装 Java 21
在 Debian 12 上安装 Java 21
|
4月前
|
Kubernetes 应用服务中间件 nginx
debian11使用kubeadm安装k8s
debian11使用kubeadm安装k8s
100 1
|
4月前
|
安全 Ubuntu Shell
深入挖掘Debian系统中安装Docker
【8月更文挑战第21天】在Debian系统中安装Docker需按步骤操作:首先确保软件包更新,执行`sudo apt update`并安装必要软件包支持HTTPS;接着添加Docker官方GPG密钥以验证包的完整性和安全性;然后设置Docker稳定版仓库,通过`tee`命令配置仓库文件;再更新软件包索引;最后安装Docker Engine并通过运行测试容器确认安装成功。此指南适用于多数Debian版本,如遇问题请查阅官方文档。
332 0
|
4月前
|
存储 Linux 开发工具
在Debian 8上安装Git的方法
在Debian 8上安装Git的方法
44 0
|
4月前
|
SQL 关系型数据库 Linux
如何在 Debian 8 上安装和使用 PostgreSQL 9
如何在 Debian 8 上安装和使用 PostgreSQL 9
64 0
|
4月前
|
数据可视化 关系型数据库 MySQL
在Debian 7上安装和保护phpMyAdmin的方法
在Debian 7上安装和保护phpMyAdmin的方法
60 0
|
4月前
|
安全 Linux 网络安全
如何在Debian 9上安装和配置VNC
如何在Debian 9上安装和配置VNC
117 0
|
4月前
|
Java 应用服务中间件 Apache
在 Debian 服务器上安装和配置 Apache Tomcat 的方法
在 Debian 服务器上安装和配置 Apache Tomcat 的方法
81 0