CentOS 7 – Postfix – OpenDKIM (DomainKeys Identified Mail)

DomainKeys ist ein Identifikationsprotokoll zur Sicherstellung der Authentizität von E-Mail-Absendern. Wie genau das funktioniert und weitere Erklärungen kann man z.B. auf Wikipedia nachlesen.

In diesen Tutorial wird die Installation und Konfiguration von OpenDKIM und Postfix unter CentOS 7 beschrieben. Diese Anleitung funktioniert auch unter CentOS 6. Bei anderen Distributionen sollte es aber fast identisch sein.

OpenDKIM Installation

Die Installation von OpenDKIM setzt ein eingebundenes EPEL-Repo voraus. Wenn diese Voraussetzungen geschaffen sind kann man OpenDKIM wie folgt installieren:

Anschliessend nehmen wir OpenDKIM in den Autostart auf.

Domain-Key erstellen

Nun müssen wir für jede Domain einen eigenen Domain-Key generieren und OpenDKIM entsprechend konfigurieren. In unserem Beispiel verwenden wir die Domain der-linux-admin.de

Nun können wir uns den DKIM-KEY für diese Domain anzeigen lassen.

Die Ausgabe sollte in etwa wie folgt aussehen:

Diese Angaben verwenden wir um unseren Domain-Key in unseren DNS-Einstellungen zu hinterlegen. Das geschieht in einen TXT-Record im Zone-File unserer Domain und muss, sofern wir keinen eigenen DNS-Server für unserer Domain betreiben, beim Domain Name Registrar erfolgen.

OpenDKIM konfigurieren

In der Konfiguration von OpenDKIM unter /etc/opendkim.conf müssen noch einige Anpassungen vorgenommen werden.

Den Modus von nur verify auf sign und verify ändern.

ändern in:

KeyFile deaktivieren.

ändern in:

KeyTable und SigningTable aktivieren.

ändern in:

Danach können wir OpenDKIM neu starten.

Konfiguration von Postfix für OpenDKIM

Der Postfix Konfiguration /etc/postfix/main.cf müssen folgende Zeilen hinzugefügt werden.

Danach Postfix neu starten.

Nun können wir mit dem Testen fortfahren.

Testen von OpenDKIM und Postfix

Dazu versenden wir einfach eine E-Mail an einem Empfänger.

Jetzt sehen wir unter /var/log/maillog das unsere Signatur eingefügt wurde.

In unserer Mail finden wir im E-Mail-Header nun folgende Zeilen.

Wir haben es geschafft. Alle ausgehenden E-Mails werden nun mit unseren Domain-Key signiert und die Authentizität ist gegeben.

Fazit

Viele Mailserver prüfen bereits auf DomainKeys. Ich kann leider keine genauen Angaben machen, in wie weit das Spam-Scoring bei Gmail oder GMX dadurch beeinflusst wird. Wenn man die Möglichkeit hat DKIM-Signaturen zu verwenden sollen man dies auch tun.

Vorsicht, falsche Einstellungen im DNS-Record können dazu führen das E-Mails als Spam abgewiesen werden.

Es ist zu beachten, dass die Serverlast dadurch auch ein wenig steigt. Es müssen schliesslich alle ausgehenden E-Mails mit einer Signatur versehen werden. Je nach E-Maildurchsatz kann dies auch zu Überraschungen führen :)

Abschliessend noch der Verweis auf die Projektseite von OpenDKIM und Postfix.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.