[分享] Sendmail + Domain Key 實作

abel

Sendmail Domain Key 教學
歡迎轉載 ,但不得作為商業用途
作者: abelyang <abelyang{at}twnic{dot}net{dot}tw>
最後修正時間: 2006/07/24 00:10
轉載時請保持此一宣告

Sendmail + DomainKey 實作分享

前言
Domain Key (DKIM) 目前尚無標準(RFC) 文件,目前 IETF Draft 只到 04 版(最終到 -06),估計還要一年多才會形成 RFC,
相關訊息可參考 IETF DKIM Working Group (http://www.ietf.org/html.charters/dkim-charter.html), 及
Domain Key 網站 ( http://mipassoc.org/dkim/ ), 這個網站可以找到各種 MTA 如何 support DKIM 的文件及 Source

Domain Key 主要是由 Yahoo 所推的網域名稱和郵件伺服器間認證方式, Server 所發出來的信件使用 private key
加密必要的表頭(Ex: From:Subjectate),目的 MTA 在收到信件時取出這些表頭,以 public key (從 DNS 中取出,
後述)進行表頭驗證,從驗證的結果中得到一個 return 值,並針對這些值由目的 MTA 決定動作 (Accept/Reject/Discare..),
所以, MTA 要支援 Domain Key, 不同的 MTA 做法稍有不同,僅以個人較熟悉之 sendmail 進行介紹,以供大家參考.
(據聞 postfix 也支援 Milter , 但個人未用過 postfix,故留待有緣人自己研究了,或上述專門介紹 DKIM 的網站中,
也有各種 MTA 的做法).

最後,值得一提的是, Yahoo 目前使用的 DKIM 版本是 02 版,而目前最新的 Draft 到 04 版,最近的 DKIM Milter 則支援
0.3 版,所以,我們的介紹是配合 Yahoo 使用 DKIM 能支援 02 版的 dk-filter 0.4.1

1. sendmail 準備工作

1.1 sendmail 需支援 Milter
不論 DKIM 也好, SPF 也罷,在 Sendmail 中實現都是以 Milter (Mail Fitler) 來做, Milter 的功能是在 SMTP 協商
的過程式去連接一個外部程式進行檢驗,例如 ehlo/mail from/rcpt to/data 等,每個步驟的過程都可以連接一個外部程
式進行檢驗及行為處理,所以,若 user 有需要可以修改 Envelpe To, Header 等,而 DKIM 的 filter 主要的工作是進行
加 Header 及取 Header 驗證的工作,故只有在 Data 上做文章. 所以您的 sendmail 有沒有支援 Milter 決定了你可否
直接使用 DKIM filter (dk-filter),或是必需重新安裝 sendmail

1. 
   
2. # 檢驗 sendmail 是否支援 Milter (-d0 表示要看 Complier 參數,不同的 -dX.Y 各有不同意義)
   
3. [root@eai1 mail]# sendmail -d0 </dev/null
   
4. Version 8.13.7
   
5. Compiled with: DNSMAP LOG MAP_REGEX MATCHGECOS MILTER MIME7TO8 MIME8TO7
   
6.                 NAMED_BIND NETINET NETUNIX NEWDB PIPELINING SASLv2 SCANF
   
7.                 STARTTLS USERDB XDEBUG
   

复制代码

若上面的 Compiled with 有出現 MILTER 即代表了您的 sendmail 巳支援 Milter, 那是最好不過的了,讓您少掉了不少
預備工作,

1.2 我的 sendmail 目前不支援 Milter
此時建議您依自己的情況找一個支援 Milter 的 RPM 或是以 Source RPM 自己重做 RPM (rpmbuild),另外您也可以選擇
以 tarball 的方式做, tarball 的方式做會複雜許多,建議您多參考 Sendmail Compiling 一節說明
http://www.sendmail.org/tips/compiling.html
以我個人的例子來做介紹

1. 
   
2. $>cd sendmail-8.13.7
   
3. # 以下您也可以自己用 editor 編輯,若不了解請多參考上述 compiling link 的說明,篇幅所限(其實是我想偷懶),無法
   
4. # 一一說明
   
5. $>cat <<EOF >devtools/Site/site.config.m4
   
6. dnl # 可以在 cf 檔中使用 regexp
   
7. APPENDDEF(`confMAPDEF',`-DMAP_REGEX')
   
8. dnl # BDB , 這個是一定要的
   
9. APPENDDEF(`confENVDEF',`-DNEWDB')
   
10. dnl # MILTER 支援
    
11. APPENDDEF(`conf_sendmail_ENVDEF', `-DMILTER')
    
12. dnl # MILTER 不以 root 啟動
    
13. APPENDDEF(`conf_libmilter_ENVDEF', `-D_FFR_MILTER_ROOT_UNSAFE')
    
14. dnl # DNS 的一些函數
    
15. APPENDDEF(`confENVDEF',`-DDNSMAP')
    
16. dnl # MILTER,這個可以不用,但個人習慣除了 sendmail_ENVDEF 外,還會再加一次 ENVDEF
    
17. APPENDDEF(`confENVDEF',`-DMILTER')
    
18. dnl # STARTTLS, SMTPS 的東西
    
19. APPENDDEF(`confENVDEF',`-DSTARTTLS')
    
20. APPENDDEF(`conf_sendmail_ENVDEF', `-DSTARTTLS')
    
21. dnl # Complier 時所需的一些 include/lib 相關位置
    
22. APPENDDEF(`conf_sendmail_LIBS', `-lssl -lcrypto')
    
23. APPENDDEF(`confLIBDIRS',`-L/usr/local/ssl/lib -L/usr/lib -L/usr/local/lib')
    
24. APPENDDEF(`confINCDIRS',`-L/usr/local/ssl/include -I/usr/include/sasl')
    
25. APPENDDEF(`confINCDIRS',` -I/usr/include -I/usr/local/include')
    
26. APPENDDEF(`confLIBS',`-lsasl2 -lcrypt -lssl -lcrypto -lmilter')
    
27. dnl # SASL , SMTP AUTH 的東西
    
28. APPENDDEF(`confENVDEF',`-DSASL2')
    
29. define(`confAUTH_OPTIONS',`p')
    
30. dnl # TCP WRAPPER , 以便可以使用 /etc/hosts.{allow,deny} 的一些功能
    
31. APPENDDEF(`confENVNEF',`-DTCPWRAPPERS')
    
32. APPENDDEF(`conf_sendmail_LIBS', `-lwrap')
    
33. EOF
    
34. 
    
35. $>sh Build -c
    
36. #這裏會進行 Compiling,理論上不會有什麼 Error , 如果有 Error 需視狀況處理
    
37. 
    
38. $>service sendmail stop
    
39. $>service sendmail stop
    
40. $>service sendmail stop
    
41. $>killall -9 sendmail
    
42. $>sh Build install
    
43. 
    
44. # 下面路徑 sendmail-cf 視您的環境而定,主要是看您的 sendmail.mc 中的 include 位置為何
    
45. $>cp -Rf cf/* /usr/share/sendmail-cf   
    
46. $>cd /etc/mail
    
47. 
    
48. # 直接使用原來的 sendmail.mc 即可
    
49. $>m4 sendmail.mc > sendmail.cf
    
50. $>service sendmail start
    
51. 
    
52. # 檢查 sendmail Compiling 的項目,是否出現 MILTER
    
53. $>sendmail -d0 </dev/null
    
54. 
    

复制代码

以上只是做 sendmail 的昇級,安裝,支援 Milter, 重新啟動等等動作,目的是要讓您的 sendmail 可以加載其他的 Mail Filter,
如果您的 sendmail 巳經支援 MILTER 那重做 SENDMAIL 是不需要的,不過 dk-filter 要求 sendmail 最低版本需 8.13.X,
所以若您不是使用 8.13.X ,您必需找 rpm 來裝或是自己用 tarball 來裝(用 Source RPM 也很簡單的),如果您的 Sendmail 巳是
8.13.X 且支援 MILTER,那第一節部份您是可以不用管的.

2. 安裝 Domain Key Filter (dk-filter)
2.1 下載與安裝
project 網址為 https://sourceforge.net/projects/dkim-milter/ , 撰寫本文時版本為 0.5.1,因為 DKIM 的標準尚
在討論中,但基本鶵形巳經有共識,相信未來只是 wording 的工作,但是內容並不會有太大的改變
(註:我用 0.5.1 無法通過 Yahoo 的 DKIM 認證, 0.4.1 是最多人用的)

1. 
   
2. $>wget http://superb-west.dl.sourceforge.net/sourceforge/dkim-milter/dkim-milter-0.4.1.tar.gz
   
3. $>tar -zxvf dkim-milter-0.4.1.tar.gz
   
4. $>cd dkim-milter-0.4.1
   
5. $>sh Build -c
   
6. # 如果 compiling 時有 SSL 相關的函數出錯,請修改 dk-filter/Makefile.m4 中的
   
7. # APPENDDEF(`confINCDIRS', `-I/usr/local/ssl/include ')
   
8. # APPENDDEF(`confLIBDIRS', `-L/usr/local/ssl/lib ')
   
9. # 到對應的路徑
   
10. $>sh Build install
    

复制代码

2.2 了解 dk-filter 參數的涵意

1. 
   
2. $>dk-filter -h
   
3. -a peerlist     file containing list of hosts to ignore   # 那些 host 不做 DKIM check
   
4. -A              auto-restart                              # dk-filter 死掉時自動重啟
   
5. -b modes        select operating modes                    # s (singer) / v (verify) 預設為 sv
   
6. -c canon        canonicalization to use when signing      # 預設是 simple (表頭不改變),
   
7.                                                           # 另外為 relaxed (表頭可能修正,去除空白,不換行等等)
   
8. -C config       configuration info (see man page)         # 設定檔,詳見下述
   
9. -d domlist      domains to sign                           # 要 sign 的 domain 列表,以逗號區隔
   
10. -D              also sign subdomains                      # 一併 sign -d 之下 domain 的 sub-domain
    
11. -f              don't fork-and-exit                       # 前景執行
    
12. -h              append identifying header                 # 會在 Mail Header 中加入 X-DomainKeys 資訊
    
13. -H              sign with explicit header lists           # DomainKey-Signature 中說明 sign 的 header 資訊
    
14. -i ilist        file containing list of internal (signing) hosts # 只做 sign, 不做 verify,預設為 127.0.0.1
    
15. -I elist        file containing list of external domain clients  # 透過此主機轉信之來源做 sign,不做 verify
    
16. -l              log activity to system log                # log 必要訊息到 maillog
    
17. -m mtalist      MTA daemon names for which to sign        # MTA 名字,也就是 DaemonPortOptions 中的 Name,預設是全部
    
18. -M macrolist    MTA macros which enable signing           # 不詳,沒用過
    
19. -o hdrlist      list of headers to omit from signing      # 那些 Header 不 sign,Ex: -o to,subject,date , From 一定要 sign
    
20. -P pidfile      file to which to write pid                # pid file 路徑
    
21. -s keyfile      location of secret key file               # private key
    
22. -S selector     selector to use when signing              # selector,會以 selector._domainkey.Domain 進行 type=TXT 查詢
    
23. -u userid       change to specified userid                # 以什麼身份執行
    
24. -V              print version number and terminate        # 版本資訊
    

复制代码

上述參數的 hosts 格式可以是 IP,Domain 例如:

1. 
   
2. # hosts format for dk-filter
   
3. 1.2.3.4
   
4. 100.100/16
   
5. eai1.twnic.tw
   
6. .twnic.net.tw
   

复制代码

上述參數 -C config 檔中的設定方法,

1. 
   
2. #result=action,result=action,...,括號內為簡寫
   
3. #Results:
   
4. # 依序為認證失敗,DNS 錯誤,Milter 內部錯誤,沒有 DKIM 欄位,沒有簽章欄位(b=)
   
5. badsignature(bad)
   
6. dnserror(dns)
   
7. internal(int)
   
8. nosignature(no)
   
9. signature-missing(miss)
   
10. 
    
11. #action:
    
12. # 依序為 同意,丟棄,臨時失敗,拒絕
    
13. accept(a)
    
14. discard(d)
    
15. tempfail(t)
    
16. reject(r)
    

复制代码

所以若要拒絕沒有 DKIM 的信件,對於內部錯誤回應臨時失敗,拒絕認證失敗的信件即為 -C bad=r,no=r,int=t

2.3 建立 dk-filter running script
建立 /etc/sysconfig/dk-filter 檔

1. 
   
2. #!/bin/bash
   
3. 
   
4. #以下請自行調整,主要為對應啟動時的參數
   
5. SOCKET="inet:8891@localhost"
   
6. CANON="simple"
   
7. DOMAIN=$(hostname)
   
8. PRIVATE_KEY="/etc/mail/abelyang.private"
   
9. USER=smmsp
   
10. HEADER_IGNORE="subject,date,message-id,to"
    
11. SELECTOR=$(date +%Y)
    
12. FILTER_RULE="bad=r,dns=r,int=r,no=a,miss=r"
    

复制代码

建立 /etc/rc.d/init.d/dk-filter 啟動程式
(這裏有點隨便寫,能夠 start/stop 而以,但不能對應到 chkconfig 使用 =.=)

1. 
   
2. #!/bin/bash
   
3. 
   
4. RETVAL=0
   
5. prog="dk-filter"
   
6. 
   
7. if [ -x /usr/bin/$prog ] ; then
   
8.     PROGDIR=/usr/bin
   
9. elif [ -x /usr/local/bin/$prog ] ; then
   
10.     PROGDIR=/usr/local/bin
    
11. else
    
12.     exit 0
    
13. fi
    
14. 
    
15. 
    
16. SOCKET="inet:8891@localhost"
    
17. # Source configuration
    
18. if [ -f /etc/sysconfig/$prog ] ; then
    
19.     . /etc/sysconfig/$prog
    
20. fi
    
21. 
    
22. start() {
    
23.     ulimit -s 2048
    
24.     $PROGDIR/$prog -H -h -l -P /var/run/dk-filter.pid   \
    
25.         $([ -n "$FILTER_RULE" ] && echo "-C $FILTER_RULE") \
    
26.         $([ -n "$DOMAIN" ] && echo "-d $DOMAIN") \
    
27.         $([ -n "$SELECTOR" ] && echo "-S $SELECTOR") \
    
28.         $([ -n "$PRIVATE_KEY" ] && echo "-s $PRIVATE_KEY") \
    
29.         $([ -n "$CANON" ] && echo "-c $CANON") \
    
30.         $([ -n "$USER" ] && echo "-u $USER") \
    
31.         $([ -n "$HEADER_IGNORE" ] && echo "-o $HEADER_IGNORE") \
    
32.         -p $SOCKET
    
33.     echo $cmd
    
34.     echo
    
35. 
    
36.     # Start daemon
    
37.     echo  "Starting $prog: [OK]"
    
38.     [ -e $SOCKET ] && rm -f $SOCKET
    
39.     return $RETVAL
    
40. }
    
41. 
    
42. stop() {
    
43.     # Stop daemon
    
44.     echo -n "Shutting down $prog: [OK]"
    
45.     killall -9 $prog
    
46.     RETVAL=$?
    
47.     echo
    
48. 
    
49.     [ -e $SOCKET ] && rm -f $SOCKET
    
50. 
    
51.     # Stop daemon
    
52.     echo -n "Shutting down $prog: "
    
53.     killproc $prog
    
54.     echo
    
55.     [ -e $MX_SOCKET ] && rm -f $MX_SOCKET
    
56. }
    
57. 
    
58. # See how we were called.
    
59. case "$1" in
    
60.     start)
    
61.     start
    
62.     ;;
    
63.     stop)
    
64.     stop $2
    
65.     ;;
    
66.     restart)
    
67.     stop
    
68.     start
    
69.     RETVAL=$?
    
70.     ;;
    
71.     *)
    
72.     echo "Usage: $0 {start|stop|restart}"
    
73.     exit 1
    
74. esac
    
75. 
    
76. exit $RETVAL
    
77. 
    
78. 
    

复制代码

以上都只是軟體的準備動作,接下來我們要做的就是實際的簽章部份了


3. 設定 DKIM 的 private/public key 及建立 DNS 資訊
DKIM 的 key 使用 rsa 加密,不需要經過 CA 認證,所以 key 值都是由自己建立的,而一般會建議 key 長度小於 1024,主要
是因為最後要把 public key 放到 DNS 資訊記錄中,若 key 太長會造成 DNS 封包放不下,容易發生一些副作用,所以這是做
key 時要注意的地方 (一般 DNS query 稱為 basic query, udp 最大只能 512 bytes, 若要超過 512 bytes, 則 DNS query
需轉為 53/TCP,並設立模式為 truncate , 或是使用 EDNS0,讓 DNS 的回應可以大於 512 個 bytes)

abel

3.1 手動產生 key
手動建立 key:

1. 
   
2. #private key
   
3. $>openssl genrsa -out rsa.private 1024
   
4. Generating RSA private key, 1024 bit long modulus
   
5. ..................++++++
   
6. ..................................................................++++++
   
7. e is 65537 (0x10001)
   
8. 
   
9. #publick key
   
10. $>openssl rsa -in rsa.private -out rsa.public -pubout -outform PEM
    
11. writing RSA key
    
12. 
    
13. #以上即可建立完成
    

复制代码

安裝 dk-filter 時,裏面附了一個 gentxt.csh  (在 dk-filter 目錄裏),可以直接使用它來產生 key 及 DNS Record 內容

1. 
   
2. $>./gentxt.csh 2006 eai1.twnic.tw
   
3. 2006._domainkey IN TXT "g=; k=rsa; t=y; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDH/mYXWTmnFBrqjU8SQIJCXz+iO4H5JPRrg8zwmlKV0mgYpPCRthUVGa0hGyi6D+hNqvskd+0rCoLtpztoGexDRKnc OOd6VBy5OzKwupLXEoDa8tTc1g2CvdxVnt2r5Q8/3rbdf/3Uw17TugxdAidJD2Fb QIPo3hCbZ0izGE9OEQIDAQAB" ; ----- DomainKey 2006 for eai1.twnic.tw
   
4. 
   
5. # g= 表示 local-part (username 為任意,如果有 i= 時,要對應這個 g= 為 i= 的 local-part, 好像有看沒有懂,主要
   
6. # 是因為參數太多了,建議若有心人可以多看看 DKIM 的文件才能懂)
   
7. 
   
8. # k=rsa 表示 key 的演算法,這裏為固定用法
   
9. # t=y 表示測試 (其他參數講了只會讓大家困擾,怒我就不寫了,請參考 DKIM Draft)
   

复制代码

此時 gentxt.csh 會在目錄下建立 2006.private 及 2006.public,而輸出的是你要放在 DNS 中的資料,所以需要在 DNS 建
立這個 DomainKey 的資料

1. 
   
2. #named.conf
   
3. zone "twnic.tw" { type master;file "twnic";};
   
4. 
   
5. # file "twnic"
   
6. $TTL 3600
   
7. @ IN SOA ...略
   
8. ; 其他 RR 略
   
9. 
   
10. $ORIGIN _domainkey.eai1.twnic.tw.
    
11.         IN        TXT         "g=; k=rsa; t=y; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDH/mYXWTmnFBrqjU8SQIJCXz+iO4H5JPRrg8zwmlKV0mgYpPCRthUVGa0hGyi6D+hNqvskd+0rCoLtpztoGexDRKnc OOd6VBy5OzKwupLXEoDa8tTc1g2CvdxVnt2r5Q8/3rbdf/3Uw17TugxdAidJD2Fb QIPo3hCbZ0izGE9OEQIDAQAB" ; ----- DomainKey 2006 for eai1.twnic.tw
    
12. 2006        IN        TXT        "g=; k=rsa; t=y; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDH/mYXWTmnFBrqjU8SQIJCXz+iO4H5JPRrg8zwmlKV0mgYpPCRthUVGa0hGyi6D+hNqvskd+0rCoLtpztoGexDRKnc OOd6VBy5OzKwupLXEoDa8tTc1g2CvdxVnt2r5Q8/3rbdf/3Uw17TugxdAidJD2Fb QIPo3hCbZ0izGE9OEQIDAQAB" ; ----- DomainKey 2006 for eai1.twnic.tw
    
13. 2007        IN        TXT        "g=; k=rsa; t=y; p=AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAABBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBB" ; 2007
    

复制代码

2006,2007 是 Selector,是指在做 DKIM DNS query 時要前置的名稱,用什麼名稱都可以,我的用意是在表示 2006 年我用這個
key, 2007 年我另一個 key,這裏面並沒有什麼強制規定,只要你的 Mail Header ,DKIM中標示 s=XXXX,d=DOMAIN , 那收信對
方就會看這個 s=XXXX 做 XXXX._domainkey.DOMAIN 的 type=TXT 查詢,如以本例即為

1. 
   
2. # 查詢 2006._domainkey.eai1.twnic.tw 的 TXT Record
   
3. [root@eai1 dk-filter]# dig 2006._domainkey.eai1.twnic.tw txt
   
4. 
   
5. ; <<>> DiG 9.3.0 <<>> 2006._domainkey.eai1.twnic.tw txt
   
6. ;; global options:  printcmd
   
7. ;; Got answer:
   
8. ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 52003
   
9. ;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 1
   
10. 
    
11. ;; QUESTION SECTION:
    
12. ;2006._domainkey.eai1.twnic.tw. IN      TXT
    
13. 
    
14. ;; ANSWER SECTION:
    
15. 2006._domainkey.eai1.twnic.tw. 60 IN    TXT     "g=\; k=rsa\; t=y\; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDu1KF+c7ucCeilrmo1FH1nDEpt7DT4J4y71iGgKtpGfOo3/dEtLyw5t75VUKKwkAmmvUBVZACciqj/aZoujVXKnSSK4DDhbpLcRA3wABczUNCXe12izP6brTDxrfkg1yi+b+rwsqyAWkiMR32f6/9i/5o9chRl3uWyDoMIWHqY6QIDAQAB"
    
16. 
    
17. ;; AUTHORITY SECTION:
    
18. twnic.tw.               86400   IN      NS      twnic.net.tw.
    
19. 
    
20. ;; ADDITIONAL SECTION:
    
21. twnic.net.tw.           86400   IN      A       211.72.210.250
    
22. 
    
23. ;; Query time: 3 msec
    
24. ;; SERVER: 211.72.210.250#53(211.72.210.250)
    
25. ;; WHEN: Thu Jul 20 10:39:16 2006
    
26. ;; MSG SIZE  rcvd: 334
    
27. 
    

复制代码

所以不論您以手動建立 KEY,並存入 DNS Record 中 (如上例),或使用 dk-filter 附的 gentxt.csh 產生 key 並抄至
DNS 中,其實都是一樣的,而後記得將 private key 保存好 (通常我都放到 /etc/mail 中),我用年區分主要用意在於強
迫自己每年要換一次 KEY

以上,我們做了 Sendmail MILTER 支援與否的確認,並且安裝了 dk-filter,產生了 private/public key,並建立了
對應的 DNS 資料,這些動作都是分開的,您那一個先做後做都沒有關係,上述的說明您可依章節獨立來看也可以,因為
我們尚未為 sendmail 和 dk-filter 建立溝通方式(socket),所以是沒有關係的


4. 修改 sendmail.mc 及測試

4.1 修改 sendmail.mc
要讓 Sendmail 能加入 DKIM 檢查需在 sendmail.mc 中加入必要資訊

1. 
   
2. #在 sendmail.mc 的 Mailer 之前加入
   
3. 
   
4. dnl # 前略
   
5. dnl # 讓 MILTER 的 log 能出到最詳細資料,初學時要注意,資訊多一點有利於您的判讀,若熟悉了可以拿掉或調回到4以下
   
6. define(`confMILTER_LOG_LEVEL',`99')
   
7. 
   
8. dnl # 讓 Sendmail Log 到 15 以上,可以看見詳細的郵件溝通過程,但 maillog 會長很快
   
9. define(`confLOG_LEVEL',`15')
   
10. 
    
11. dnl # 加入 dk-filter ,進行 DKIM 的 sign/verify 動作 (mode=s,v,sv)
    
12. INPUT_MAIL_FILTER(`dkim-filter', `S=inet:8891@localhost')
    
13. 
    
14. dnl # 後略
    
15. 
    

复制代码

4.2 啟動 dk-filter 及 sendmail
做好修改 sendmail.mc 動作好重新產生 sendmail.cf,並先確認 dk-filter 巳執行中,重新啟動 sendmail,
(切記, dk-filter 要先執行,才跑 sendmail,而後 dk-filter 有重啟都沒有關係)

1. 
   
2. $>m4 sendmail.mc > sendmail.cf
   
3. $>/etc/rc.d/init.d/dk-filter start
   
4. $>(確認 dk-filter 巳執行中)
   
5. $>service sendmail restart
   

复制代码

如此即完成了 sendmail DKIM 的功能,而初步完成後建議您先進行測試,以了解 sign 的功能是否正常

4.3 發信測試,Local Mail
試發一封寄給自己的信,確認其內容是否有 DKIM 訊息

1. 
   
2. $>echo "" | mail abelyang -s "DKIM testing"
   
3. $>mail -u abelyang
   
4. 看到的信件內容
   
5. From root@eai1.twnic.tw  Thu Jul 20 11:16:05 2006
   
6. X-Spam-Checker-Version: SpamAssassin 3.1.3 (2006-06-01) on eai1.twnic.tw
   
7. X-Spam-Level:
   
8. X-Spam-Status: No, score=0.0 required=5.0 tests=DK_POLICY_SIGNSOME,
   
9.         DK_POLICY_TESTING,DK_SIGNED,SPF_HELO_PASS,SPF_PASS autolearn=failed
   
10.         version=3.1.3
    
11. X-DomainKeys: Sendmail DomainKeys Filter v0.4.1 eai1.twnic.tw k6K3G5FJ011141
    
12. DomainKey-Signature: a=rsa-sha1; s=2006; d=eai1.twnic.tw; c=simple; q=dns;
    
13.         h=received:from;
    
14.         b=rt7TfR5smobv7WnmQjddlRYWUNKCoIVwbUQZ9nek0xMOFlRqbXWMU9Es65ljpN1Yz
    
15.         gMk9izKfxbMCkE8YE4BDmEczrWJ7bLKAHkXBS5gulx/l3t+cNBiP3KbQtAJ8LjJVTCe
    
16.         kMEmp8+FVUkobhVVTxlJya9AkgEN2Cdnsc1WYhg=
    
17. Date: Thu, 20 Jul 2006 11:16:05 +0800
    
18. From: root <root@eai1.twnic.tw>
    
19. To: abelyang@eai1.twnic.tw
    
20. Subject: DKIM testing
    
21. 
    

复制代码

看起來無誤,這其中的 X- 分別是 spamassassin 及 dk-filter 所加的,而個人測試主機之 spamassassin 有啟動 DKIM 及 SPF 的檢
查,所以 X-Spam-Status 中會有相關的資訊,但這個不是個人的重點

重點是這個 Header

1. 
   
2. DomainKey-Signature: a=rsa-sha1; s=2006; d=eai1.twnic.tw; c=simple; q=dns;
   
3.         h=received:from;
   
4.         b=rt7TfR5smobv7WnmQjddlRYWUNKCoIVwbUQZ9nek0xMOFlRqbXWMU9Es65ljpN1Yz
   
5.         gMk9izKfxbMCkE8YE4BDmEczrWJ7bLKAHkXBS5gulx/l3t+cNBiP3KbQtAJ8LjJVTCe
   
6.         kMEmp8+FVUkobhVVTxlJya9AkgEN2Cdnsc1WYhg=
   
7. a= 表示加密方式
   
8. s= 為 selector
   
9. d= 為 Domain
   
10. c= 為 canon 方式,預設為 simple
    
11. q= 為 query 方式,目前只有 dns
    
12. h= 為以那些 Header 做簽證動作,因為我去掉了 (-o) 一些,所以 h= 那些
    
13. b= 簽證後的值,這個值為 base64
    

复制代码

因為是自己發給自己(127.0.0.1),所以不會有 verify 的動作,我們現在用 telnet 來測試一下

1. 
   
2. [root@eai1 dk-filter]# telnet eai1.twnic.tw 25
   
3. Trying 211.72.210.249...
   
4. Connected to eai1.twnic.tw.
   
5. Escape character is '^]'.
   
6. 220 eai1.twnic.tw ESMTP Sendmail 8.13.6/8.13.6; Thu, 20 Jul 2006 11:24:38 +0800
   
7. ehlo eai1.twnic.tw
   
8. 250-eai1.twnic.tw Hello eai1.twnic.tw [211.72.210.249], pleased to meet you
   
9. 250-ENHANCEDSTATUSCODES
   
10. 250-PIPELINING
    
11. 250-8BITMIME
    
12. 250-SIZE
    
13. 250-DSN
    
14. 250-ETRN
    
15. 250-AUTH CRAM-MD5 LOGIN PLAIN
    
16. 250-DELIVERBY
    
17. 250 HELP
    
18. mail from: <abelyang@eai1.twnic.tw>
    
19. 250 2.1.0 <abelyang@eai1.twnic.tw>... Sender ok
    
20. rcpt to: <abelyang@eai1.twnic.tw>
    
21. 250 2.1.5 <abelyang@eai1.twnic.tw>... Recipient ok
    
22. data
    
23. 354 Enter mail, end with "." on a line by itself
    
24. Date: Thu, 20 Jul 2006 11:16:05 +0800
    
25. From: root <root@eai1.twnic.tw>
    
26. To: abelyang@eai1.twnic.tw
    
27. Subject: DKIM testing
    
28. 
    
29. .
    
30. 554 5.7.1 Command rejected
    
31. 
    

复制代码

因為此時我們用的 IP 為 211.72.210.249,所以對於來信沒有 DKIM (nosig), 我們設定了 no=r, 所以信件就不收,即會
出現這樣的訊息. 依 DKIM 的 Draft 的願景,首重先推廣 DKIM,待 DKIM 有一定程度的普及後才會到 reject 的可能,但
我的用意在做說明,所以本文用的是沒有 sign 就 reject, 當然您可以不用 -C 參數,就不會有這樣的情況發生了


4.4 發信測試,外部
Yahoo 的 mail 目前有 DKIM,所以是我們最佳的測試目標,我們可以試發 Mail 到 yahoo.com.tw 上的帳號上進行測試,這
個測試主要在於了解自己的 DKIM 是否設定正確
yahoo mail 結果


由以上可知,這樣的過程是 OK 的, Yahoo 對我的來信進行了 Verify, 並且確認了這個信件是來自於我的 Domain,
若反向而為,從 Yahoo 向我的 Mail Server 發信,可以發信,但是 Yahoo 的 mail 發向我的信會有問題,這個問題在 maillog
會出現:

1. 
   
2. Jul 21 16:52:25 eai1 sendmail[15482]: k6L8qPC4015482: milter_read(dkim-filter): cmd read returned 0, expecting 5
   
3. Jul 21 16:52:25 eai1 sendmail[15482]: k6L8qPC4015482: Milter (dkim-filter): to error state
   

复制代码

這是 dk-filter 目前的 bug, 至預計下一版才會進行修正,不過目前巳有 0.5.1 版且此版本較能 follow DKIM draft, 但顯然
Yahoo 的 DKIM 只能配合到原來的 Draft-03 (意即 dkim 0.4.1 版),所以本處的介紹即以 0.4.1 版為主,而 0.5.1 版的使用
僅是大同小異(參數略有不同),而我們在使用 DKIM 發信給 Yahoo 時,使用 0.4.1 版 Yahoo 能夠正確的辨認我們的 Key 對不
對,而使用 0.5.1 因為一些欄位 Yahoo 看不懂,所以它就會認為我們送的信沒有 key (nosig),反而造成它無法認為我們使用
DKIM.



5. 結語
即使 DKIM 立意雖不錯,但是仍不能預防 SPAM,因為 SPAMER 可以 follow 標準(Draft),而 verify 一樣會 pass,所以個人並不
期待它能有多大的效果,但是 DKIM 對於信確實由這個網域名稱所發出的檢查是能正確驗證的,而對於我所使用的 DKIM 所發出來
的信件,它仍歸類為垃圾郵件 (我有反解,且正反解一致,也有 DKIM),所以可以知道的是它不是僅以反解或 DKIM 來判斷
一封郵件是否為 Spam,也和郵件內容的長短無關,而可能是其他因素所致.

參考:
1. http://www.atmarkit.co.jp/fsecurity/special/88domainkeys/dk04.html
2. http://www.erikberg.com/notes/milters.html
3. http://www.elandsys.com/resources/sendmail/dkim.html

附錄1, dk-filter 0.4.1 Header,DKIM Draft 02 版 Mail Header

1. 
   
2. DomainKey-Signature:a=rsa-sha1; s=2006; d=eai1.twnic.tw; c=simple; q=dns;
   
3.         h=received:from;
   
4.         b=YM3a3E8rF5sQy+0Mb8K0G7bkQ8Nq3gPEfoY8nZtk9TOlHsiyFEYPtQbMXi50Eo9Wd
   
5.         TJ2Fa61BHNsUrm6PYH9En8MaRF1zI3HgLms6GELpChbF2bYjrAXqu9hhjWpxzUDZoI2
   
6.         DlG6rPSiC39bviTqDUDuCpAY+Ssw6LuNp6FyY5Q=
   

复制代码

附錄2, dkim-filter 0.5.1 Header , DKIM Draft 03 版 Mail Header

1. 
   
2. DKIM-Signature:         a=rsa-sha1; c=relaxed/simple; d=eai1.twnic.tw; s=2006; t=1153707289; bh=sN3ES5nmlXy4I3QtCSbftYMZfrY=;
   
3.         h=Received:Date:From:Message-Id:To:Subject;
   
4.         b=kyZaJUnHKfUX0IyzjDRpvz/FrT0XQXLt08WhGf/s5L
   
5.         gSFqlrAgJAQ5jb5gsIqhLBLW5HZBJbGSf87RdUilKE8BvuphrERJikgYbPthuieK6ce
   
6.         oxlC9JGGrb9joKnZ/X3HYTLo1iUyveC6QsAQ4T1zGcnkPK8dTJ95hXeXnK87ZM=
   
7. 
   
8. # t= 表示 sign 的時間,而 bh= 表示 Body 的 sign 結果,c= 也進行了一些調整
   

复制代码

枫影谁用了

一直不敢用SENDMAIL。。。感覺太複雜了!!

abel

原帖由 枫影谁用了 于 2006-7-25 10:10 发表
一直不敢用SENDMAIL。。。感覺太複雜了!!

sendmail 是把功能做在"設定檔"裏面,和 qmail 的作法是有差別的,
至於複雜與否我倒不覺得, 這些東西給我一台機器,5分鐘內可以全部完成,
而 qmail 恐怕還在 patch 中 ...,還得保證順序不出錯,qmail 的安裝在我來看也是無比複雜的

xmbbx

虽然不用sendmail,好贴还是顶一下。

思一克

加个精华吧

飘散在风里

Abel兄台写的真不错。

我没有用过Domain Key技术，大致的看过现在说明。感觉其只是阻止 冒充别域 发信的垃圾邮件，对不存在的域名的垃圾邮件，无法做到检测。现在国内很多的垃圾邮件都会使用些不存在的邮箱来发。

现在使用DomainKey技术的厂商，在国内来说，并不多。

abel

原帖由 飘散在风里 于 2006-7-25 11:48 发表
Abel兄台写的真不错。

我没有用过Domain Key技术，大致的看过现在说明。感觉其只是阻止 冒充别域 发信的垃圾邮件，对不存在的域名的垃圾邮件，无法做到检测。现在国内很多的垃圾邮件都会使用些不存在的邮箱来发 ...

您說的沒有錯,我還沒有看過中國那一家公司使用 DKIM 的,原因我想就在這個東西較新,較少人有實作或研究,
本文的目的主要在介紹 MTA (sendmail) 如何使用 DKIM, 希望起一個帶頭的效果,
至於域的確認或假的域這個在 DKIM 是沒有問題的,假域名根本不會有 Public Key,更不會有 Signer,
所以在 DKIM 來看就是 no sig 時要 reject 即可 (但現階段不可行,因為還沒到這麼普及),
DKIM 能確認的是這個 Domain ,且信件確由這個 Domain 發出的 (假域根本不會有 DNS),
至於這個 Domain 中的這個 User 為真假就不是 DKIM 能做的了,不過我相信在標準定案前
這個功能應該還有很大的討論空間,對域能 sing/verify , 為什麼不能做到人呢
只是做到"人",相對的管理工作肯定會很多

[ 本帖最后由 abel 于 2006-7-25 12:02 编辑 ]

飘散在风里

反垃圾是一项多重性的工作，需要有多种的手段来做。

去年国内的互联网大会上，也曾听到过有些公司要使用DomainKey，也许因为它现在还没有成为一个完整的标准发布吧。

对domainkey，我是很看好的，至少会比SPF要强。  ^_^

hongfengyue

支持！Postfix已经支持Milter（类似sendmail）改天也实验一下。