Home » Форум

Форум

[Решено] CentOS 7 + iRedMail + DKIM  

 

МайскийЖук
(@maybeatle)
Active Member
Присоединился: 7 месяцев назад
Сообщения: 10
10.07.2019 13:18  

Добрый день!

Спасибо вам за интересные, подробные статьи с описанием установки и настройки различного ПО на CentOS 7.

Сейчас меня интересует вопрос использования DKIM после установки iRedMail.

Не знаю, что могло произойти со времени написания статьи, но в данный момент имеется CentOS 7, iRedMail той же версии, которая описывается в статье, но SSL-сертификатов и DKIM после инсталляции iRedMail уже не имеется. Разбираться не хотелось, что к чему, проще было установить certbot (ссылка на него есть на официальном сайте iRedMail) и с его помощью на три месяца получить бесплатные сертификаты для своих доменов.

Но возникла проблема с DKIM. Какую статью в интернете не читаешь — везде пишут, что это просто, а на поверку никакой простоты не обнаруживается, особенно когда дело касается Gmail'а. Если на mail.ru письма от моего почтового сервера ещё доходят, хотя в заголовках и отмечается, что письмо не подписано DKIM, то Gmail такие письма просто возвращает, ссылаясь на подозрительность таких писем и якобы компрометацию моего домена, хотя мой домен на spamhaus'е нигде не числится. Самое интересное, что сертификаты валидные, dkim-записи на локальном DNS прописаны, amavisd их проверяет и говорит passed, но в письмах почему-то DKIM не распознаётся, а, если быть точнее, то пишет, что public key unavailable.

Вопрос: в чём может быть проблема?

Дополнительный вопрос: может быть где-то есть подробная или хоть какая-то статья о том, что на своём почтовом сервере однозначно правильно настроить DKIM для всех исходящих сообщений, чтобы Gmail начал наконец-то принимать письма, отправленные с моего почтового сервера?

Заранее большое спасибо за ответ.


Цитата
Topic Tags
Zerox
(@zerox)
Reputable Member Admin
Присоединился: 6 лет назад
Сообщения: 436
10.07.2019 14:19  

Настройку dkim я подробно рассмотрел в своей статье про почтовый сервер - https://serveradmin.ru/nastroyka-postfix-dovecot-centos-7/#_dkim_spf

У вас в dns правильно прописана публичная часть вашего dkim ключа? Подозреваю, что проблема в этом. 


ОтветитьЦитата
МайскийЖук
(@maybeatle)
Active Member
Присоединился: 7 месяцев назад
Сообщения: 10
10.07.2019 14:33  

Domain Name Server у меня на Domain Controller'е, само собой, который управляется Windows Server 2016 Standard.

И да, публичная часть ключа была скопирована и вставлена в TXT-запись согласно инструкции с сайта iRedMail. Мало того, certbot от Let's Encrypt при проверке выдаёт PASSED. Вот это-то и смущает. :-|

Может попробовать всё-таки установить OpenDKIM и настроить всё ещё раз согласно вашей статье? До этого ваши инструкции меня не подводили, но в этот раз я решил остановиться на инструкции с сайта iRedMail, но вот что-то не пошло (хотя не исключаю и вариант кривизны моих рук).

А пока немного другой вопрос: у Google'а есть Postmaster Tools. Вот там они просят ввести домен, используемый для аутентификации почты. И я вот в толк никак не возьму, какой конкретно домен они имеют в виду? Например, у меня почтовый сервер имеет адрес вида mail.cko.город.ru, а почтовые адреса имеют вид alias@cko.город.ru. Так какой же домен мне проверять в Postmaster Tools: cko.город.ru или mail.cko.город.ru?

Хотя я уж и не надеюсь на то, что Google меня примет, потому что я пробовал и тот домен, и другой, и прописывать и TXT-запись Google'а, и CNAME, который он предлагает — результат всегда один и тот же: Google сообщает мне, что не может обнаружить внесённые мною записи (ожидание 1-2 дней после внесения так же не приносит желаемого результата, записи по-прежнему не обнаруживаются). :-( 

This post was modified 7 месяцев назад by МайскийЖук

ОтветитьЦитата
Zerox
(@zerox)
Reputable Member Admin
Присоединился: 6 лет назад
Сообщения: 436
10.07.2019 14:35  

Вы что-то путаете. Какое отношение let's encrypt имеет к dkim? Не понял вас в этом моменте. Для создания подписи dkim let's encrypt не нужен.


ОтветитьЦитата
МайскийЖук
(@maybeatle)
Active Member
Присоединился: 7 месяцев назад
Сообщения: 10
10.07.2019 14:38  

Let's Encrypt предлагает установить certbot, с помощью которого можно получить SSL-сертификаты для своего сервера. Разве нет? А на основе этих сертификатов и генерируется DKIM. Или я уже после нескольких дней разбирания английских статей совсем запутался? :-? 


ОтветитьЦитата
Zerox
(@zerox)
Reputable Member Admin
Присоединился: 6 лет назад
Сообщения: 436
10.07.2019 14:42  

У вас проблема с теорией. Не понимаете сути. Почитайте на тему dkim хотя бы в моей статье. TLS сертификаты и DKIM подпись это разные вещи, между собой не связанные. Lets encrypt это про TLS сертификаты, к DKIM отношения не имеет.


ОтветитьЦитата
МайскийЖук
(@maybeatle)
Active Member
Присоединился: 7 месяцев назад
Сообщения: 10
10.07.2019 14:49  

Возможно и даже скорее всего. Моё последнее общение с Linux`ом было лет 15 назад на уровне создания фидошной ноды, сейчас просто приходится всё узнавать заново.

Но в данный момент это не важно. Public Key и Private Key я генерировал с помощью amavisd вот по этой инструкции. Всё, что там написано, я выполнил, проверил — PASS.

Что я сделал не так? amavisd распознал же записи, сделанные на DNS…


ОтветитьЦитата
МайскийЖук
(@maybeatle)
Active Member
Присоединился: 7 месяцев назад
Сообщения: 10
10.07.2019 15:27  

Блин, ни с того ни с сего перестал amavisd запускаться. :-(

[root@mail ~] systemctl start amavisd

Job for amavisd.service failed because the control process exited with error code. See "systemctl status amavisd.service" and "journalctl -xe" for details.

[root@mail ~] systemctl status amavisd.service

Выдаётся куча строк, две из которых помечены красным:

Failed to start Amavisd-new is an interface between MTA and content checkers..

Ну в чём же дело-то? С этим-то что могло случиться? :-(


ОтветитьЦитата
МайскийЖук
(@maybeatle)
Active Member
Присоединился: 7 месяцев назад
Сообщения: 10
10.07.2019 15:40  

Так, с amavisd стало всё понятно, из-за прописанных ранее строк, связанных с DKIM, он отказывался стартовать. Комментирование этих строк позволило ему запуститься нормально.

Сделал всё по вашей статье, ссылку на которую вы привели выше — результат всё тот же. :-(

Delivered-To: alias@mail.ru
Return-path: <>
Authentication-Results: mxs.mail.ru; spf=none () smtp.mailfrom=postmaster@cko.город.ru smtp.helo=mail.cko.город.ru;
	 dkim=invalid reason=pubkey_unavailable header.d=cko.город.ru

Ну помогите мне, пожалуйста, понять, в чём же дело.

Есть подозрение, что это связано с разницей между почтовым доменом и именем сервера. DKIM для чего конкретно создаётся? И прописывать его надо для чего? В моём случае у меня есть домен третьего уровня CKO.ГОРОД.RU и почтовый сервер MAIL.CKO.ГОРОД.RU. Мне DKIM для первого или для второго надо создать? :-/


ОтветитьЦитата
МайскийЖук
(@maybeatle)
Active Member
Присоединился: 7 месяцев назад
Сообщения: 10
10.07.2019 15:52  

X-DKIM-FAIL: DKIM test failed: invalid (address=postmaster@cko.город.ru domain=cko.город.ru reason=pubkey_unavailable)

Кажется, я начинаю понимать, в чём дело. В служебных заголовках входящего письма и DKIM test failed, и SPF всё ещё none, хотя я только что всё выполнил из вашей инструкции. Соответственно, делаем вывод о том, что по какой-то причине записи на моём DNS-сервере не видны. Так? Я чего-то тут явно не понимаю. В сетевых настройках почтового сервера прописан DNS-сервер (он же контроллер домена, на котором я все эти записи про SPF и DKIM и делаю). Почему же DKIM до сих пор failed? Я сломал мозжечок. :-(


ОтветитьЦитата
МайскийЖук
(@maybeatle)
Active Member
Присоединился: 7 месяцев назад
Сообщения: 10
10.07.2019 17:01  

Всё, я разобрался, в чём было дело.

Прошу удалить эту бредовую тему.

Hint: при настройке чего-то либо на базе Linux надо хотя бы иногда отдыхать. :-)


ОтветитьЦитата
STALKER_SLX
(@stalker_slx)
Estimable Member
Присоединился: 1 год назад
Сообщения: 142
10.07.2019 22:05  
От: МайскийЖук

Всё, я разобрался, в чём было дело.

Прошу удалить эту бредовую тему.

Hint: при настройке чего-то либо на базе Linux надо хотя бы иногда отдыхать. :-)

Ну, так Вы отпишитесь в чём то дело было! Людям, которые сюда придут в будущем с гугла - будет очень интересно. А ответа-то они пока тут и не увидят....


ОтветитьЦитата
МайскийЖук
(@maybeatle)
Active Member
Присоединился: 7 месяцев назад
Сообщения: 10
11.07.2019 08:33  

Да просто стыдно признаваться, если честно, ощущение такое, что я просто запарился уже окончательно, пока «поднимал» почтовый сервер. :-)

С какого, не знаю с какого, перепугу я настраивал A, MX и все остальные записи не для своего домена, который мне провайдер дал, а на контроллере моего локального домена (который, соответственно, является и DNS'ом), имя которого совпадает полностью с тем доменом, который мне дал провайдер. :-D

Уже в конце дня меня вдруг осенило: «Причём тут вообще мой локальный домен-то?». Это было из разряда «Внезапно почувствуй себя идиотом». :-)


Zerox лайков
ОтветитьЦитата
Share:

Пожалуйста, Вход или Зарегистрироваться