「postfix」カテゴリーアーカイブ

新サーバにDKIMproxy導入でgoogle先生に叱られた

DKIMproxy導入記録です。前記事は。

DKIMproxy導入覚書-はまり処満載で撃沈寸前!その1

DKIMproxy導入覚書-はまり処満載で撃沈寸前!その2

DKIMproxy導入覚書-はまり処満載で撃沈寸前!その3

送信ドメイン認証導入総括

今回新サーバに導入の覚書です。

上記手順でインストールは問題なく動作確認もsa-test@sendmail.netへの送信テストの結果は以下

———————————————————————————————————–

sendmail.net Sender Authentication Auto-Responder $Revision: 1.19 $

This
service runs at <sa-test@sendmail.net> and allows
remote users
to perform a simple, automated test to see if different
Sender
Authentication schemes are working.  Mail sent to this service
is
checked by our Sender Authentication filters for any valid
credentials or
signatures.  A script receives the message, checks
for a special header with
the results of the tests, and composes
this response message based on what it
finds.  This response is also
signed with DomainKeys Identified Mail
(DKIM).

Please note that the DKIM filter signing this reply message
conforms
to the latest IETF standard version, and thus may not be successfully
verified by older implementations.  If you are using dkim-filter
from
Sendmail, Inc., upgrade to OpenDKIM to be compatible with the
most
recent version of DKIM.

Note that DomainKeys has been removed in
favor of DKIM.  Sites still
using DomainKeys should upgrade to DKIM
ASAP.

We hope this service has been helpful to you.

Authentication
System:       DomainKeys Identified Mail (DKIM)
Result:      DKIM signature confirmed GOOD
Description:              Signature
verified, message arrived intact
Reporting host:
services.sendmail.com
More information:         http://dkim.org/
Sendmail milter:          http://opendkim.org/

Authentication
System:       Sender ID
Result:                   SID data confirmed GOOD
Description:              Sending host is authorized for
sending domain
Reporting host:           services.sendmail.com
More
information:         http://www.microsoft.com/senderid

Sendmail milter:          https://sourceforge.net/projects/sid-milter/

Authentication
System:       Sender Permitted From (SPF)
Result:                   SPF
data confirmed GOOD
Description:              Sending host is authorized
for sending domain
Reporting host:           services.sendmail.com

More information:         http://openspf.org/
————————————————————————————————————

と問題なくyahoo.co.jp宛のメールも迷惑メールには振り分けられるもののDKIM及びDomainKey認証の結果は

以下のように問題ありませんでした。

————————————————————————————————————–

抜粋一部伏字

From yoshio Fri Feb 15 15:23:32 2013

X-Apparently-To: **********@yahoo.co.jp via 183.79.100.191; Fri, 15 Feb 2013 15:39:09 +0900
Return-Path: <yoshio@hstech.jp>
X-YahooFilteredBulk: 219.105.37.34
X-Originating-IP: [219.105.37.34]
Received-SPF: pass (dns.hstech-net.com: domain of yoshio@hstech.jp designates 219.105.37.34 as permitted sender) receiver=dns.hstech-net.com; client-ip=219.105.37.34; envelope-from=yoshio@hstech.jp;
Authentication-Results: mta536.mail.kks.yahoo.co.jp from=hstech.jp; domainkeys=pass (ok); dkim=pass (ok) header.i=@hstech.jp
Received: from 219.105.37.34 (EHLO dns.hstech-net.com) (219.105.37.34) by mta536.mail.kks.yahoo.co.jp with SMTP; Fri, 15 Feb 2013 15:39:09 +0900
Received: from dns.hstech-net.com (dns.hstech-net.com [127.0.0.1]) by dns.hstech-net.com (Postfix) with ESMTP id 18EF45C0B3F for <ikuko_kimura@yahoo.co.jp>; Fri, 15 Feb 2013 15:23:36 +0900 (JST)
DKIM-Signature: v=1; a=rsa-SHA256; c=relaxed; d=hstech.jp; h=message-id :from:to:subject:date:mime-version:content-type :content-transfer-encoding; s=hstech; bh=cm3wifXTQb1BDJmgLrqwHaa Kt7jTusy9rHJ3pkuNlJs=; b=PKkorais8kG257bvNjob63kDv8RAyiuoOu/10/3 EIrbGQr9PTfpd6vPGptkudE+9tfM+6ZXz7bXA+g3Ukyx6OxWr6uQpz45mGYoyJ3l rj8++uXS0V7He26KHkw7FjvV7hXIs+TKPfMrSz9VdOELIiWC0poJNqt0ecuP7SLe jmU0=
DomainKey-Signature: a=rsa-SHA1; c=nofws; d=hstech.jp; h=message-id:from :to:subject:date:mime-version:content-type :content-transfer-encoding; q=dns; s=hstech; b=Am5JobuxbZDZVG6Il 6ywnf8z208bZ4fhMnlnf4lfWt3rZPG6lU6EfIspXxkzAWg60Dg4S3NHp3s0LcSjD N13VIFJyLUo5slPTO0ial/81aHdJlcDhzOhhNMgiKayjjWx/Vk6pPyhlgMPUA3CT U6hIlLojIly371xsyPBu+/Fo6w=
Received: from hstechPC1 (unknown [192.168.120.100]) by dns.hstech-net.com (Postfix) with ESMTPA id 0869E5C0B3E for <********@yahoo.co.jp>; Fri, 15 Feb 2013 15:23:36 +0900 (JST)
Message-ID: <C40F24C9FBA74AA2A816EA703FDDE9D9@hstechPC1>
From:
“yoshio” <yoshio@hstech.jp>

以下略

————————————————————————————————————————————————————————-

次に前回問題なかったgmail宛にテストメールを送信しヘッダー情報を確認しました。

すると前回旧サーバでDKIM署名のテストをしたときの結果と異なりました。

前回のAuthentication-Results結果
Authentication-Results: mx.google.com; spf=pass (google.com: domain of yoshio@hstech.net designates 219.105.37.35 as permitted sender) smtp.mail=yoshio@hstech.net

今回のAuthentication-Results結果

Authentication-Results: mx.google.com; spf=pass (google.com: domain of yoshio@hstech.jp designates 219.105.37.34 as permitted sender) smtp.mail=yoshio@hstech.jp;
dkim=neutral (no key) header.i=@ と叱られた

ぬ!no keyってなんじゃい!とここからgoogle先生に教えを請いました。以下次回

新サーバPostfixにS25Rスパム対策を導入

S25Rスパム対策は、現メールサーバに導入し高いスパム阻止効果を上げています。

Dovecot+Postfixの新サーバにも導入しました。その覚書です。

上記サイトのPostfixでの設定方法を参考にwhite_list、rejections、helo_restrictions三つのファイルを作成します。

今回white_listは上記サイト様のものがすばらしいので(更新もされているようです)簡単なphpスクリプトで

月一回取り込ませていただく事としました。(感謝!)

以下の簡単なスクリプトをcronで月一回実行させます。

<?php

$url=”http://www.gabacho-net.jp/anti-spam/white-list.txt“;

$white_list=”/home/****/white_list”; ユーザーディレクトリの適当な場所に保存

$read=@fopen($url,”r”);

$write=@fopen($white_list,”w”);

while($line=@fgets($read,1024)){

fputs($write_fp,$line);

}

fclose($read);

fclose($write);

?>

ユーザーディレクトリに保存したwhite_listを/etc/postfix/white_listへリンク

 /etc/postfix/main.cfに追加設定

heloが必要

smtpd_helo_required = yes

HELO コマンドの送信制限

smtpd_helo_restrictions =
permit_mynetworks,
reject_invalid_hostname,
check_helo_access regexp:/etc/postfix/helo_restrictions

差出人アドレスの制限

smtpd_sender_restrictions =
permit_mynetworks,
reject_non_fqdn_sender,

reject_unknown_sender_domain

ホワイトリストは許可

smtpd_client_restrictions =
permit_mynetworks,
check_client_access regexp:/etc/postfix/white_list,
check_client_access regexp:/etc/postfix/rejections

以上で設定完了です。

拒絶ログソーティングスクリプト も大変便利なので使用します。

次はいよいよDKIMproxyです。前回大変だったので心配です。

Dovecot+Postfixでメールサーバ構築

Postfix+Cyrusでメールサーバを運用しておりましたが、新メールサーバのDevecotを使っての

構築テストです。Version 2.0.21

Dovecotをsslを使用しない設定で起動させると以下のエラーを吐く

doveconf: Warning: Obsolete setting in /etc/dovecot/dovecot.conf:93: protocol { ssl_listen } has been replaced by service { inet_listener { address } }

/etc/dovecot/dovecot.conf

”ssl_listen = *”をコメントアウトすると起動しました。特に他の設定いじらなくても良いようです。

/etc/dovecot/conf.d/10-mail.conf

mail_location = maildir:~/Maildir

これでpop3受信の確認が出来ました

しかし・・・saslauthデーモンを起動させたとたん

Jan 27 18:07:20 dns postfix/smtpd[23217]: connect from unknown[113.78.39.85]
Jan 27 18:07:23 dns postfix/smtpd[23217]: warning: unknown[113.78.39.85]: SASL LOGIN authentication failed: authentication failure
Jan 27 18:07:24 dns postfix/smtpd[23217]: warning: unknown[113.78.39.85]: SASL LOGIN authentication failed: authentication failure
Jan 27 18:07:25 dns postfix/smtpd[23217]: warning: unknown[113.78.39.85]: SASL LOGIN authentication failed: authentication failure
Jan 27 18:07:26 dns postfix/smtpd[23217]: warning: unknown[113.78.39.85]: SASL LOGIN authentication failed: authentication failure
Jan 27 18:07:27 dns postfix/smtpd[23217]: warning: unknown[113.78.39.85]: SASL LOGIN authentication failed: authentication failure
Jan 27 18:07:28 dns postfix/smtpd[23217]: warning: unknown[113.78.39.85]: SASL LOGIN authentication failed: authentication failure
Jan 27 18:07:29 dns postfix/smtpd[23217]: warning: unknown[113.78.39.85]: SASL LOGIN authentication failed: authentication failure
Jan 27 18:07:29 dns postfix/smtpd[23217]: warning: unknown[113.78.39.85]: SASL LOGIN authentication failed: authentication failure
Jan 27 18:07:30 dns postfix/smtpd[23217]: warning: unknown[113.78.39.85]: SASL LOGIN authentication failed: authentication failure
Jan 27 18:07:31 dns postfix/smtpd[23217]: warning: unknown[113.78.39.85]: SASL LOGIN authentication failed: authentication failure
Jan 27 18:07:35 dns postfix/smtpd[23217]: warning: unknown[113.78.39.85]: SASL LOGIN authentication failed: authentication failure
Jan 27 18:07:39 dns postfix/smtpd[23217]: warning: unknown[113.78.39.85]: SASL LOGIN authentication failed: authentication failure
Jan 27 18:07:43 dns postfix/smtpd[23217]: warning: unknown[113.78.39.85]: SASL LOGIN authentication failed: authentication failure
Jan 27 18:07:47 dns postfix/smtpd[23217]: warning: unknown[113.78.39.85]: SASL LOGIN authentication failed: authentication failure
Jan 27 18:07:51 dns postfix/smtpd[23217]: warning: unknown[113.78.39.85]: SASL LOGIN authentication failed: authentication failure
Jan 27 18:07:55 dns postfix/smtpd[23217]: warning: unknown[113.78.39.85]: SASL LOGIN authentication failed: authentication failure
Jan 27 18:07:59 dns postfix/smtpd[23217]: warning: unknown[113.78.39.85]: SASL LOGIN authentication failed: authentication failure
Jan 27 18:08:03 dns postfix/smtpd[23217]: warning: unknown[113.78.39.85]: SASL LOGIN authentication failed: authentication failure
Jan 27 18:08:07 dns postfix/smtpd[23217]: warning: unknown[113.78.39.85]: SASL LOGIN authentication failed: authentication failure
Jan 27 18:08:10 dns postfix/smtpd[23217]: warning: unknown[113.78.39.85]: SASL LOGIN authentication failed: authentication failure
Jan 27 18:08:12 dns postfix/smtpd[23217]: too many errors after AUTH from unknown[113.78.39.85]
Jan 27 18:08:12 dns postfix/smtpd[23217]: disconnect from unknown[113.78.39.85]
Jan 27 18:11:32 dns postfix/anvil[23218]: statistics: max connection rate 1/60s for (smtp:113.78.39.85) at Jan 27 18:07:20
Jan 27 18:11:32 dns postfix/anvil[23218]: statistics: max connection count 1 for (smtp:113.78.39.85) at Jan 27 18:07:20
Jan 27 18:11:32 dns postfix/anvil[23218]: statistics: max cache size 1 at Jan 27 18:07:20

またもや中国からのアクセスです。いやになりますね。

DKIMproxy導入覚書-はまり処満載で撃沈寸前!その1

DKIM(DomainKeys Identified Mail)は迷惑メール対策の技術の一つでで自ドメインでの導入記録です。

DKIMとは 参照:dkim.jp FAQ こちらに詳しい説明があります。

財団法人日本インターネット協会 技術解説DKIM

・まずは使用ソフトウェアの選択

総合的に判断してDKIMproxyを使用することとしました。

こちらのサイトを参考にインストールをしましたがはまりどころ満載で恥を承知で公開します。

Mail-DKIM and DKIMproxy 日本語化がほとんど進んでいないので苦労しました。

Downloadページの指示に従い以下のperlモジュールをインストールします。以下

Mail::DKIM requires the following Perl modules:

適当訳-Mail::DKIMは以下ののパールモジュールを必要としています

  • Crypt::OpenSSL::RSA
  • Digest::SHA
  • Mail::Address
  • MIME::Base64
  • Net::DNS

 

DKIMproxy is written in Perl. It requires the Mail::DKIM module, found on this page, as well as the following Perl modules:

適当訳-DKIMproxyはPerlで書かれています。それにMail :: DKIMのモジュールと同様に、以下のPerlモジュールが必要です

  • Net::Server (use the latest version, if possible)
  • Error

CPANのご厄介になるわけですがこちらのサイトが参考なります。CPAN初級

書くと簡単ですが、依存関係で色々エラーが出てここまで結構時間がかかりました。

Download the Mail-DKIM Perl module:

Version 0.39 [CPAN].

これでやっとMail-DKIMのインストールに到りました、続いてDKIMproxyです。

Download the current version of DKIMproxy:Version 1.4.1 [SourceForge].

ダウンロードしたら適当なディレクトリに解凍します。(インストール先は指定できるので)

tar xzf dkimproxy-1.3.tar.gz

cd /path/dkimproxy-1.3 解凍したdkimproxyに移動

./configure –prefix=/usr/local/dkimproxy

make install

dkimproxyのインストールはこれで完了です  参考サイト

・次に鍵の作成です。

# cd /usr/local/dkimproxy

# openssl genrsa -out private.key 1024

# openssl rsa -in private.key -pubout -out public.key

これでprivate.keyとpublic.keyが作成されます。

順調に見えますがここまで1日半ぐらいかかってます。以下次回