Image

База знаний → Настройка цифровой подписи DKIM в Postfix

[Виртуальные сервера]
Дата публикации: 30.05.2023

Цифровая подпись домена (DKIM) позволяет дополнительно подтвердить владельца домена, добавлением ключа в заголовок письма, который в свою очередь проверяется сервером получателя на соответствие с публичным ключом, указанным в TXT DNS записи домена отправителя. Данная настройка не является обязательной, но значительно уменьшает шанс попадания письма в спам и придает письму со стороны получателя больше доверия.

1. Установим необходимые пакеты:

apt-get install opendkim opendkim-tools

2. Настройка и активация.

Удалим существующие настройки по умолчанию и приведем файл к виду:

nano /etc/opendkim.conf

AutoRestart Yes AutoRestartRate 10/1h UMask 002 Syslog yes SyslogSuccess Yes LogWhy Yes

Canonicalization relaxed/simple

ExternalIgnoreList refile:/etc/opendkim/TrustedHosts InternalHosts refile:/etc/opendkim/TrustedHosts KeyTable refile:/etc/opendkim/KeyTable SigningTable refile:/etc/opendkim/SigningTable

Mode sv PidFile /var/run/opendkim/opendkim.pid SignatureAlgorithm rsa-sha256

UserID opendkim:opendkim

Socket inet:12301@localhost

Закомментируем строку по умолчанию и заменим ее на следующую:

nano /etc/default/opendkim

SOCKET="inet:12301@localhost"

Добавим настройки в postfix:

nano /etc/postfix/main.cf

milter_protocol = 2 milter_default_action = accept

smtpd_milters = inet:localhost:12301 non_smtpd_milters = inet:localhost:12301

Создадим каталоги для хранения данных ключей и таблиц сопостовления почтовых доменов:

mkdir /etc/opendkim
mkdir /etc/opendkim/keys

Создадим файл доверенных хостов и доменов:

nano /etc/opendkim/TrustedHosts

127.0.0.1 localhost 192.168.0.1/24

*.my-domain.com

#.my-domain.net #.my-domain.org

Создадим файл сопоставления домен-секретный ключ:

nano /etc/opendkim/KeyTable

mail._domainkey.my-domain.com my-domain.com:mail:/etc/opendkim/keys/my-domain.com/mail.private

#mail._domainkey.my-domain.net my-domain.net:mail:/etc/opendkim/keys/my-domain.net/mail.private #mail._domainkey.my-domain.org my-domain.org:mail:/etc/opendkim/keys/my-domain.org/mail.private

Создадим файл, в котором будут настройки определяющие к какому адресу какой ключ добавить:

nano /etc/opendkim/SigningTable

*@my-domain.com mail._domainkey.my-domain.com

#@my-domain.net mail._domainkey.my-domain.net #@my-domain.org mail._domainkey.my-domain.org

Создадим каталог и сами файлы ключей для нашего домена:

cd /etc/opendkim/keys
mkdir my-domain.com
cd my-domain.com
opendkim-genkey -s mail -d my-domain.com
chown opendkim:opendkim mail.private

-s задает селектор -d задает домен. Команда создаст два файл, где mail.private содержит секретный ключ, а mail.txt содержит публичный ключ.

Данный ключ мы будем использовать в DNS:

nano -$ mail.txt

mail._domainkey IN TXT ( "v=DKIM1; h=sha256; k=rsa; " "p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA3Ru/oMs+d2y93gZVq81J7hZfe31GR3177XQ5dI0r8zFqh86K1pgcdvCbpaAzXw9x25 /9BUe2ot9gpxjnt5SD+dDyereVKdkIQdkJBTl21Ei8ShJf+iIyYn5/skzLYS5RzlreBGoSGT6mtfnhzRX1A18X52oZrAfUJIXqAX14LYFq /B5Wkw8vcUiU1CrR7lteH1vCu0JQtE16CK" "vj86V06SxtKNEiRDqHZXo5+SqjzB2qHeteTGTyxA1dBmyKGCP6cVTkU3P0unOtsDLO+47YTUC55db34DKjjr18Lny0gf0d6oT0OvCZU5m5O3v QunxQtSPD4+Hb75xrMJqqSlXtswIDAQAB" )

Приведем эту запись к нормальному виду, удалив кавычки, и чтобы ключ был в одну строку, после чего добавим данную TXT запись в DNS нашего домена:

mail._domainkey IN TXT "v=DKIM1; k=rsa; p=MIIBI...IDAQAB"

Проверить запись можно командой:

nslookup -q=TXT mail._domainkey.my-domain.com 8.8.8.8

Для применения настроек перезапустим службы:

service postfix restart
service opendkim restart

Настройка DKIM завершена, можно проверить ее работу отправив письмо на адрес: check-auth@verifier.port25.com

Если все корректно настроено, Вы получите отчет, где будет указана строка: DKIM check: pass.





Нет комментариев