Server Admin Авторский блог системного администратора
Добрый день!
Спасибо вам за интересные, подробные статьи с описанием установки и настройки различного ПО на CentOS 7.
Сейчас меня интересует вопрос использования DKIM после установки iRedMail.
Не знаю, что могло произойти со времени написания статьи, но в данный момент имеется CentOS 7, iRedMail той же версии, которая описывается в статье, но SSL-сертификатов и DKIM после инсталляции iRedMail уже не имеется. Разбираться не хотелось, что к чему, проще было установить certbot (ссылка на него есть на официальном сайте iRedMail) и с его помощью на три месяца получить бесплатные сертификаты для своих доменов.
Но возникла проблема с DKIM. Какую статью в интернете не читаешь — везде пишут, что это просто, а на поверку никакой простоты не обнаруживается, особенно когда дело касается Gmail'а. Если на mail.ru письма от моего почтового сервера ещё доходят, хотя в заголовках и отмечается, что письмо не подписано DKIM, то Gmail такие письма просто возвращает, ссылаясь на подозрительность таких писем и якобы компрометацию моего домена, хотя мой домен на spamhaus'е нигде не числится. Самое интересное, что сертификаты валидные, dkim-записи на локальном DNS прописаны, amavisd их проверяет и говорит passed, но в письмах почему-то DKIM не распознаётся, а, если быть точнее, то пишет, что public key unavailable.
Вопрос: в чём может быть проблема?
Дополнительный вопрос: может быть где-то есть подробная или хоть какая-то статья о том, что на своём почтовом сервере однозначно правильно настроить DKIM для всех исходящих сообщений, чтобы Gmail начал наконец-то принимать письма, отправленные с моего почтового сервера?
Заранее большое спасибо за ответ.
Настройку dkim я подробно рассмотрел в своей статье про почтовый сервер - https://serveradmin.ru/nastroyka-postfix-dovecot-centos-7/#_dkim_spf
У вас в dns правильно прописана публичная часть вашего dkim ключа? Подозреваю, что проблема в этом.
Domain Name Server у меня на Domain Controller'е, само собой, который управляется Windows Server 2016 Standard.
И да, публичная часть ключа была скопирована и вставлена в TXT-запись согласно инструкции с сайта iRedMail. Мало того, certbot от Let's Encrypt при проверке выдаёт PASSED. Вот это-то и смущает. :-|
Может попробовать всё-таки установить OpenDKIM и настроить всё ещё раз согласно вашей статье? До этого ваши инструкции меня не подводили, но в этот раз я решил остановиться на инструкции с сайта iRedMail, но вот что-то не пошло (хотя не исключаю и вариант кривизны моих рук).
А пока немного другой вопрос: у Google'а есть Postmaster Tools. Вот там они просят ввести домен, используемый для аутентификации почты. И я вот в толк никак не возьму, какой конкретно домен они имеют в виду? Например, у меня почтовый сервер имеет адрес вида mail.cko.город.ru, а почтовые адреса имеют вид alias@cko.город.ru. Так какой же домен мне проверять в Postmaster Tools: cko.город.ru или mail.cko.город.ru?
Хотя я уж и не надеюсь на то, что Google меня примет, потому что я пробовал и тот домен, и другой, и прописывать и TXT-запись Google'а, и CNAME, который он предлагает — результат всегда один и тот же: Google сообщает мне, что не может обнаружить внесённые мною записи (ожидание 1-2 дней после внесения так же не приносит желаемого результата, записи по-прежнему не обнаруживаются). :-(
Вы что-то путаете. Какое отношение let's encrypt имеет к dkim? Не понял вас в этом моменте. Для создания подписи dkim let's encrypt не нужен.
Let's Encrypt предлагает установить certbot, с помощью которого можно получить SSL-сертификаты для своего сервера. Разве нет? А на основе этих сертификатов и генерируется DKIM. Или я уже после нескольких дней разбирания английских статей совсем запутался? :-?
У вас проблема с теорией. Не понимаете сути. Почитайте на тему dkim хотя бы в моей статье. TLS сертификаты и DKIM подпись это разные вещи, между собой не связанные. Lets encrypt это про TLS сертификаты, к DKIM отношения не имеет.
Возможно и даже скорее всего. Моё последнее общение с Linux`ом было лет 15 назад на уровне создания фидошной ноды, сейчас просто приходится всё узнавать заново.
Но в данный момент это не важно. Public Key и Private Key я генерировал с помощью amavisd вот по этой инструкции. Всё, что там написано, я выполнил, проверил — PASS.
Что я сделал не так? amavisd распознал же записи, сделанные на DNS…
Блин, ни с того ни с сего перестал amavisd запускаться. :-(
[root@mail ~] systemctl start amavisd
Job for amavisd.service failed because the control process exited with error code. See "systemctl status amavisd.service" and "journalctl -xe" for details.
[root@mail ~] systemctl status amavisd.service
Выдаётся куча строк, две из которых помечены красным:
Failed to start Amavisd-new is an interface between MTA and content checkers..
Ну в чём же дело-то? С этим-то что могло случиться? :-(
