DKIM - Relayhost pro Domäne

antiager

Hallo Forum!

Habe gerade meinen ersten Grommunio installiert.

Zwei Fragen sind bei mir im Moment offen.

Wenn ich jetzt eine weitere Maildomäne anlege, wie sage ich dann welcher Smarthost zum versenden verwendet werden soll?

Wie generiere ich einen DKIM Key für die einzelnen Domänen und sorge dafür das die Mails signiert werden?

Danke für eure Tipps!

MfG RO

crpb

Hi,

Mehrere Smarthosts / Beispielhaft
https://www.postfix.org/postconf.5.html#sender_dependent_relayhost_maps

postconf sender_dependent_relayhost_maps=lmdb:/etc/postfix/sender_relay
cat << 'EOF' |tee -a /etc/postfix/sender_relay
domain1.tld       [one.smart-host.tld]
domain2.tld       [two.smart-host.tld]
EOF

Die smarthosts brauchen wohl auch ne anmeldung?
https://www.postfix.org/postconf.5.html#smtp_sasl_password_maps

postconf smtp_sasl_password_maps=lmdb:/etc/postfix/sasl_passwd
cat << 'EOF' |tee -a /etc/postfix/sasl_passwd
[one.smart-host.tld]     user_with_relay_access@domain1.tld:MYSCRET
[two.smart-host.tld]     user_with_relay_access@domain2.tld:MYSCRET
EOF

DKIM
Das sollte seitens Smarthost geregelt werden der ja auch als MX gesetzt ist?!

antiager

Im Fall von Smarthosts ja aber wie macht man das wenn Grommunio ohne Smarthost verschicken soll?

crpb

Du hast es ja bereits in dem anderen Topic gefunden aber machen wir einfach hier weiter.

Also bei mir scheint das sauber zu funktionieren.

grom-test-2:~ # rspamadm configwizard
  ____                                     _
 |  _ \  ___  _ __    __ _  _ __ ___    __| |
 | |_) |/ __|| '_ \  / _` || '_ ` _ \  / _` |
 |  _ < \__ \| |_) || (_| || | | | | || (_| |
 |_| \_\|___/| .__/  \__,_||_| |_| |_| \__,_|
             |_|

Welcome to the configuration tool
We use /etc/grommunio-antispam/rspamd.conf configuration file, writing results to /etc/grommunio-antispam
Modules enabled: dkim, greylist, dmarc, dkim_signing, history_redis, metadata_exporter, regexp, replies, multimap, maillist, bayes_expiry, force_actions, settings, chartable, emails, forged_recipients, spf, once_received, fuzzy_check, rbl, trie, whitelist, mid, milter_headers, mime_types, hfilter, arc, phishing, asn, ratelimit, neural
Modules disabled (explicitly): external_relay, aws_s3, dcc, mx_check, http_headers, bimi, rspamd_update, p0f, spamtrap
Modules disabled (unconfigured): url_redirector, fuzzy_collect, clickhouse, reputation, metric_exporter, maps_stats, dynamic_conf, clustering, ip_score, antivirus, external_services, spamassassin, elastic
Modules disabled (no Redis):
Modules disabled (experimental):
Modules disabled (failed):
Do you wish to continue?[Y/n]:
Setup WebUI and controller worker:
Do you want to setup dkim signing feature?[y/N]: y
How would you like to set up DKIM signing?
1. Use domain from mime from header for sign
2. Use domain from SMTP envelope from for sign
3. Use domain from authenticated user for sign
4. Sign all mail from specific networks

Enter your choice (1, 2, 3, 4) [default: 1]: 1
Do you want to sign mail from authenticated users? [Y/n]:
Allow data mismatch, e.g. if mime from domain is not equal to authenticated user domain? [Y/n]:
Do you want to use effective domain (e.g. example.com instead of foo.example.com)? [Y/n]:
Enter output directory for the keys [default: /var/lib/grommunio-antispam/dkim/]:
Enter domain to sign: moep.com
Enter selector [default: dkim]:
Do you want to create privkey /var/lib/grommunio-antispam/dkim/moep.com.dkim.key[Y/n]:
To make dkim signing working, you need to place the following record in your DNS zone:
dkim._domainkey IN TXT ( "v=DKIM1; k=rsa; "
        "p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCZRCgeX39DDOi3SOtBs9lZ5y/l7mBxKjr745WmCZJS/D8ndHv0LHI61vqu2NS3tkdqzlrfA00n8KKkRZsIzAlD/XyOJYBqavUwtTtQOv5TX7kFo4uONxIAL16jHrXkdYlFrKzcFw9CWXkFc+x55orviXnx8B1VHHuTRHTeB4T0wQIDAQAB" ) ;

Do you wish to add another DKIM domain?[y/N]:
File: /etc/grommunio-antispam/local.d/dkim_signing.conf, changes list:
sign_authenticated => true
use_esld => true
domain => {[moep.com] = {[path] = /var/lib/grommunio-antispam/dkim/moep.com.dkim.key, [selector] = dkim}}
allow_hdrfrom_mismatch => true
use_domain => header
allow_username_mismatch => true
allow_hdrfrom_mismatch_sign_networks => true

Apply changes?[Y/n]:
Create file /etc/grommunio-antispam/local.d/dkim_signing.conf
1 changes applied, the wizard is finished now
*** Please reload the Rspamd configuration ***

Die Domain war nur als Beispiel und funktioniert da nicht aber sieht soweit gut aus.

Den Dienst danach neu starten systemctl restart grommunio-antispam und die DNS-Einträge beim Provider/BIND/whatever setzen.

Und wenn nicht, LOGS! 🖥️

antiager

Erstmal danke für deine Hilfe!

Ich habe jetzt funktionierendes DKIM für eine Domäne!

Über SSH (direkt im Terminal hat es bei mir nicht funktioniert der configwizard meldet Fehler!)

rspamadm configwizard ausführen
Keys in DNS eintragen
systemctl restart grommunio-antispam
Wenn es dann nicht geht (Mails werden nicht signiert) dann stimmen möglicherweise die Berechtigungen der Keyfiles nicht (bei mir war das so).
Die Berechtigungen anpassen mit:
chown groas:grommunio /var/lib/grommunio-antispam/dkim/domain.de.dkim.key
chmod 440 /var/lib/grommunio-antispam/dkim/domain.de.dkim.key

Der rspamadm configwizard startet übrigens nachdem das einmal eingerichtet ist nicht mehr.
Der Aufruf funktioniert, er zeigt an was bereits konfiguriert ist und fragt dann ob man weiter machen will.
Sagt man ja, kommt die Meldung "no changes found" und er beendet sich!
Was mache ich denn wenn jetzt eine weitere Domäne mit DKIM konfiguriert werden soll?

Danke nochmal an crpb!!

WalterH

antiager Das ist hier recht gut beschrieben: https://www.rspamd.com/doc/modules/dkim_signing.html
Für jede Domain einen Key anlegen und die Domain in local.d/dkim_signing.conf ergänzen, DNS Einträge nicht vergessen.

antiager

Danke!