0x1b - ESCAPE
HTML PDF Postscript
[ Blog | Beat | Nala | Beni | Maja | Links | Chaos | Internes | Impressum | Login ]
[ Archiv | Suche | RDF ]
[ Zurück zum Blog ]
 
 DomainKeys 
Computer Geschrieben von Beat Rubischon (Link) am Dienstag, 1. Januar 2008, 21:59
aus dem *signierte-mail* dept.

Als Hotmail androhte, nur noch Mails von Servern mit SenderID aka SPF Records zu akzeptieren, erstellte ich solche in meinem Zonenfile. Yahoo und GMail sind mit DomainKeys bzw. dem Nachfolger DKIM einen anderen Weg gegangen, der nicht ganz so einfach zu implementieren ist.

Ich hatte mehrfach mit GMail zu kämpfen, wenn mein Backup-MX Bounces aufgrund von Spam an GMail Accounts zurücksendet. Irgendwann sind es zu viele, dann wird die Senderdomain komplett geblockt. Auch wenn diese Sperre nach einer gewissen Zeit abläuft, so ist die Sache recht ärgerlich.

Nach einem schon lange anstehenden Upgrade von meinem Sendmail machte ich mich dahinter, das entsprechende Milter Programm zu installieren. Nach etwas Basteln fand ich auch heraus, dass DomainKey und DKIM mit zwei verschiedenen Milter Programmen bewältigt werden und die Signaturen auch unterschiedlich aussehen. Da GMail beide macht, habe ich auch beide eingebunden.

Die Anleitung hat sich als durchaus unbrauchbar erwiesen, die entsprechenden Muster und Readmes aus dem Code müssen beachtet werden.

Der Bau selbst sollte nur dann gemacht werden, wenn sich $SYSADMIN mit dem Bau von Sendmail und den üblichen m4 Scripten auskennt. Um mit dem DKIM Milter DomainKeys zu verifizieren, muss die entsprechende Library aus dem anderen Projekt eingebaut werden. Letztendlich brauchte ich noch ein bleeding edge OpenSSL.

Die DNS Records sind gemacht und die Signaturen werden erstellt: 
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=0x1b.ch; s=mail;
	t=1199223808; bh=7WcYMcH+kFCXpwSwgjTV8dzX+OIgrGFmGA5V1IyhMAk=;
	h=DomainKey-Signature:User-Agent:Date:Subject:From:To:Message-ID:
	 Thread-Topic:Thread-Index:Mime-version:Content-type:
	 Content-transfer-encoding; b=u4N57ve82btSBnhUQj9AkOsSYaoqyPOyznj1y
	lvutPavCwp8wNkJl2hZehodfZq/+Xww8bhzZ/q4Un1iHDJN0guGzh2xZeYnWDU9qsPK
	evJhNcYholcdVG1u2Wf99ZDsEsF7zk8zGmadHmXoAY+WajMhUhq+n9yC5hfNhjvQ0sQ
	=
DomainKey-Signature: a=rsa-sha1; s=mail; d=0x1b.ch; c=nofws; q=dns;
	h=user-agent:date:subject:from:to:message-id:thread-topic:
	thread-index:mime-version:content-type:content-transfer-encoding;
	b=glYGGH4AmhQhaUecXA70Qy486mer9tSc4nplF323du0fgRr94G3/vzED7zFTadOdv
	sRj1YTBbTD+nKEM1SSPh5Of3Vf0+NH18y5cT+JOGTtBcTZIXNmqT23lJvgq1TczHrA0
	kGihC1SRmIVHDJMlVGxS3K8fyRYkJgURfJN37M0=
Der Rückwärtstest scheint auch zu tun, eine Mail, die über einen Forward zurückkam, wird sauber markiert: 
Authentication-Results: max.0x1b.ch; domainkeys=pass (testing)
        header.from=beat@0x1b.ch
Authentication-Results: max.0x1b.ch; dkim=pass (1024-bit key)
        header.i=@0x1b.ch
Ich bin gespannt, ob meine Mails damit bei GMail vielleicht etwas mehr "Karma" bekommen!

Permalink

Das Kleingedruckte: Der Besitzer der folgenden Kommentare ist wer immer sie eingeschickt hat. Wir sind in keiner Weise für sie verantwortlich.

  • beat@0x1b.ch Re: DomainKeys
    Geschrieben von Beat Rubischon (Link) am Mittwoch, 2. Januar 2008, 12:32

    Ein paar Tests mit Yahoo und GMail waren erfolgreich - beide sind happy mit meinen Signaturen. Mein pine spricht ab sofort SMTP mit dem MTA und benutzt nicht mehr /usr/lib/sendmail -oem -t -oi, damit werden auch seine Mails signiert.

    Jetzt lasse ich das ein paar Tage laufen und gucke, ob auch wirklich alles tut. Wenn ja, stelle ich auch meine Poweruserin um ;-)

©opyleft 02.01.2008 12:32 by 0x1b, geschrieben in XHTML 1.0 und CSS. Bisher 15655x gelesen.