Home »

[Решено] CentOS 7 + iRedMail + DKIM  

Страница 1 / 2

МайскийЖук
Сообщения: 10
(@maybeatle)
Младший сисадмин
Присоединился: 1 год назад

Добрый день!

Спасибо вам за интересные, подробные статьи с описанием установки и настройки различного ПО на CentOS 7.

Сейчас меня интересует вопрос использования DKIM после установки iRedMail.

Не знаю, что могло произойти со времени написания статьи, но в данный момент имеется CentOS 7, iRedMail той же версии, которая описывается в статье, но SSL-сертификатов и DKIM после инсталляции iRedMail уже не имеется. Разбираться не хотелось, что к чему, проще было установить certbot (ссылка на него есть на официальном сайте iRedMail) и с его помощью на три месяца получить бесплатные сертификаты для своих доменов.

Но возникла проблема с DKIM. Какую статью в интернете не читаешь — везде пишут, что это просто, а на поверку никакой простоты не обнаруживается, особенно когда дело касается Gmail'а. Если на mail.ru письма от моего почтового сервера ещё доходят, хотя в заголовках и отмечается, что письмо не подписано DKIM, то Gmail такие письма просто возвращает, ссылаясь на подозрительность таких писем и якобы компрометацию моего домена, хотя мой домен на spamhaus'е нигде не числится. Самое интересное, что сертификаты валидные, dkim-записи на локальном DNS прописаны, amavisd их проверяет и говорит passed, но в письмах почему-то DKIM не распознаётся, а, если быть точнее, то пишет, что public key unavailable.

Вопрос: в чём может быть проблема?

Дополнительный вопрос: может быть где-то есть подробная или хоть какая-то статья о том, что на своём почтовом сервере однозначно правильно настроить DKIM для всех исходящих сообщений, чтобы Gmail начал наконец-то принимать письма, отправленные с моего почтового сервера?

Заранее большое спасибо за ответ.

Ответить
Метки темы
12 Ответов
Zerox
Сообщения: 546
Admin
(@zerox)
Honorable Member
Присоединился: 7 лет назад

Настройку dkim я подробно рассмотрел в своей статье про почтовый сервер - https://serveradmin.ru/nastroyka-postfix-dovecot-centos-7/#_dkim_spf

У вас в dns правильно прописана публичная часть вашего dkim ключа? Подозреваю, что проблема в этом. 

Ответить
1 Ответить
МайскийЖук
(@maybeatle)
Присоединился: 1 год назад

Младший сисадмин
Сообщения: 10

Domain Name Server у меня на Domain Controller'е, само собой, который управляется Windows Server 2016 Standard.

И да, публичная часть ключа была скопирована и вставлена в TXT-запись согласно инструкции с сайта iRedMail. Мало того, certbot от Let's Encrypt при проверке выдаёт PASSED. Вот это-то и смущает. :-|

Может попробовать всё-таки установить OpenDKIM и настроить всё ещё раз согласно вашей статье? До этого ваши инструкции меня не подводили, но в этот раз я решил остановиться на инструкции с сайта iRedMail, но вот что-то не пошло (хотя не исключаю и вариант кривизны моих рук).

А пока немного другой вопрос: у Google'а есть Postmaster Tools. Вот там они просят ввести домен, используемый для аутентификации почты. И я вот в толк никак не возьму, какой конкретно домен они имеют в виду? Например, у меня почтовый сервер имеет адрес вида mail.cko.город.ru, а почтовые адреса имеют вид alias@cko.город.ru. Так какой же домен мне проверять в Postmaster Tools: cko.город.ru или mail.cko.город.ru?

Хотя я уж и не надеюсь на то, что Google меня примет, потому что я пробовал и тот домен, и другой, и прописывать и TXT-запись Google'а, и CNAME, который он предлагает — результат всегда один и тот же: Google сообщает мне, что не может обнаружить внесённые мною записи (ожидание 1-2 дней после внесения так же не приносит желаемого результата, записи по-прежнему не обнаруживаются). :-( 

Ответить
Zerox
Сообщения: 546
Admin
(@zerox)
Honorable Member
Присоединился: 7 лет назад

Вы что-то путаете. Какое отношение let's encrypt имеет к dkim? Не понял вас в этом моменте. Для создания подписи dkim let's encrypt не нужен.

Ответить
1 Ответить
МайскийЖук
(@maybeatle)
Присоединился: 1 год назад

Младший сисадмин
Сообщения: 10

Let's Encrypt предлагает установить certbot, с помощью которого можно получить SSL-сертификаты для своего сервера. Разве нет? А на основе этих сертификатов и генерируется DKIM. Или я уже после нескольких дней разбирания английских статей совсем запутался? :-? 

Ответить
Zerox
Сообщения: 546
Admin
(@zerox)
Honorable Member
Присоединился: 7 лет назад

У вас проблема с теорией. Не понимаете сути. Почитайте на тему dkim хотя бы в моей статье. TLS сертификаты и DKIM подпись это разные вещи, между собой не связанные. Lets encrypt это про TLS сертификаты, к DKIM отношения не имеет.

Ответить
1 Ответить
МайскийЖук
(@maybeatle)
Присоединился: 1 год назад

Младший сисадмин
Сообщения: 10

Возможно и даже скорее всего. Моё последнее общение с Linux`ом было лет 15 назад на уровне создания фидошной ноды, сейчас просто приходится всё узнавать заново.

Но в данный момент это не важно. Public Key и Private Key я генерировал с помощью amavisd вот по этой инструкции. Всё, что там написано, я выполнил, проверил — PASS.

Что я сделал не так? amavisd распознал же записи, сделанные на DNS…

Ответить
МайскийЖук
Сообщения: 10
(@maybeatle)
Младший сисадмин
Присоединился: 1 год назад

Блин, ни с того ни с сего перестал amavisd запускаться. :-(

[root@mail ~] systemctl start amavisd

Job for amavisd.service failed because the control process exited with error code. See "systemctl status amavisd.service" and "journalctl -xe" for details.

[root@mail ~] systemctl status amavisd.service

Выдаётся куча строк, две из которых помечены красным:

Failed to start Amavisd-new is an interface between MTA and content checkers..

Ну в чём же дело-то? С этим-то что могло случиться? :-(

Ответить
Страница 1 / 2