Linux/Mail/OpenDKIM の履歴(No.4) - nowsky system-lab memo

[ トップ ] [ 新規 | 一覧 | 検索 | 最終更新 | ヘルプ | ログイン ]

履歴一覧
差分を表示
現在との差分を表示
ソースを表示
Linux/Mail/OpenDKIM へ行く。
- 1 (2017-10-07 (土) 13:57:56)
- 2 (2017-10-07 (土) 16:50:54)
- 3 (2017-10-07 (土) 19:56:42)
- 4 (2018-09-03 (月) 23:35:44)
- 5 (2019-01-19 (土) 21:58:56)

OpenDKIM†

MTAにmilterとして組み込む事で、DKIMを実装出来るようになるプログラム。
メールの署名付与、署名検証が出来る。
メール送信者の詐称対策に有効なので、SPFと併せて実装しておいた方が良い。

参考情報
OpenDKIM
PostifxでDKIM認証する
 OpenDKIMを利用したメール認証

↑

構築環境†

今回検証した環境はこちら

debian 8.9 x86_64
CentOS 7.4 x86_64
openSUSE 42.3 x86_64

他には下の内容で構築メモを作成

OpenDKIMは"127.0.0.1:TCP/10027"で待ち受ける
汎用性を持たせる為、LocalSocketは今回利用しない
送受信の署名付与/検証を実施する
マルチドメインの検証に対応させる

ドメイン構成などは

メール鯖のドメイン：hoge.org
メール鯖のFQDN：mail.hoge.org
メール鯖のIPアドレス：10.0.0.1

↑

構築(Debian)†

1. インストール
Debianではopendkimとopendkim-toolsの二つをインストールする
デフォルトのリポジトリでインストール出来るので、apt-getを実行するのみとなる。

# apt-get install opendkim opendkim-tools

2. 設定
既存のコンフィグは内容が書かれていない為、ディレクトリ含めて全て作成する必要がある。
また、一部設定がinitファイルに埋め込まれていたり、環境変数として固定化されている為、
埋め込まれた設定を無効化する事で通常のコンフィグから設定を読み込ませる様に変更する。

# mkdir -p /etc/opendkim/cert
# cd /etc/opendkim/cert
# opendkim-genkey -D /etc/opendkim/cert -d mail.hoge.org -s 20170101 -b 2048
# chown opendkim.root 20170101.private
# chmod 400 20170101.private

＋

設定内容

/etc/opendkim.conf

# 細かい解説はopenSUSE版を参照
----
[01] Syslog              yes
[02] SyslogFacility      mail
[03] SyslogSuccess       yes
[04] LogWhy              yes
[05] UMask               022
[06] UserID              opendkim:opendkim
[07] Socket              inet:10027@127.0.0.1
[08] PidFile             /var/run/opendkim/opendkim.pid
[09] KeyTable            refile:/etc/opendkim/KeyTable
[10] SigningTable        refile:/etc/opendkim/SigningTable
[11] ExternalIgnoreList  refile:/etc/opendkim/TrustedHosts
[12] InternalHosts       refile:/etc/opendkim/TrustedHosts
[13] Mode                sv
[14] Canonicalization    relaxed/relaxed
[15] MinimumKeyBits      1024
[16] SignatureAlgorithm  rsa-sha256
[17] SoftwareHeader      no
[18] StrictHeaders       no
[19] StrictTestMode      no
[20] SubDomains          no

　
/etc/opendkim/KeyTable

[セレクタ]._domainkey.[FQDN] [FQDN]:[セレクタ]:[秘密鍵]
---
20170101._domainkey.mail.hoge.org mail.hoge.org:20170101:/etc/opendkim/cert/20170101.private

　
/etc/opendkim/SigningTable

[署名対象のユーザ]@[FQDN] [セレクタ]._domainkey.[FQDN]
---
*@mail.hoge.org 20170101._domainkey.mail.hoge.org

　
/etc/opendkim/TrustedHosts

127.0.0.1
10.0.0.1

　
/etc/default/opendkim

# 全てコメントアウト
---
#DAEMON_OPTS=""
#SOCKET="local:/var/run/opendkim/opendkim.sock" # default
#SOCKET="inet:54321" # listen on all interfaces on port 54321
#SOCKET="inet:12345@localhost" # listen on loopback on port 12345
#SOCKET="inet:12345@192.0.2.1" # listen on 192.0.2.1 on port 12345

↑

構築(CentOS)†

1. インストール
CentOSの場合、OpenDKIMをyumでインストールするにはEPELリポジトリが必要となる。
EPEL自体もyumでインストール出来る為、今までの様にimport-keyする必要がなくなる。

# yum install epel-release
# yum --enablerepo=epel install opendkim

2. 設定
他ディストリビューションと殆ど同じだが、一部設定は利用出来ないのでDisableにする。
また、sysconfigに埋め込まれている環境変数も必要無いので削除(未設定)にする。

# mkdir /etc/opendkim/keys
# cd /etc/opendkim/keys
# opendkim-genkey -D /etc/opendkim/keys -d mail.hoge.org -s 20170101 -b 2048
# chown opendkim.root 20170101.private
# chmod 400 20170101.private

＋

設定内容

/etc/opendkim.conf

# 細かい解説はopenSUSE版を参照
----
[01] PidFile             /var/run/opendkim/opendkim.pid
[02] Mode                sv
[03] Syslog              yes
[04] SyslogFacility      mail
[05] SyslogSuccess       yes
[06] LogWhy              yes
[07] UserID              opendkim:opendkim
[08] Socket              inet:10027@127.0.0.1
[09] Umask               022
[10] SendReports         no
[11] SoftwareHeader      no
[12] Canonicalization    relaxed/relaxed
[13] MinimumKeyBits      1024
[14] KeyTable            refile:/etc/opendkim/KeyTable
[15] SigningTable        refile:/etc/opendkim/SigningTable
[16] ExternalIgnoreList  refile:/etc/opendkim/TrustedHosts
[17] InternalHosts       refile:/etc/opendkim/TrustedHosts

# 下記はコンフィグの最終行に追加
----
[18] SignatureAlgorithm  rsa-sha256
[19] StrictHeaders       no
[20] StrictTestMode      no
[21] SubDomains          no

　
/etc/opendkim/KeyTable

[セレクタ]._domainkey.[FQDN] [FQDN]:[セレクタ]:[秘密鍵]
---
20170101._domainkey.mail.hoge.org mail.hoge.org:20170101:/etc/opendkim/keys/20170101.private

　
/etc/opendkim/SigningTable

[署名対象のユーザ]@[FQDN] [セレクタ]._domainkey.[FQDN]
---
*@mail.hoge.org 20170101._domainkey.mail.hoge.org

　
/etc/opendkim/TrustedHosts

127.0.0.1
10.0.0.1

　
/etc/sysconfig/opendkim

# DKIM_SELECTORをコメントアウト
---
OPTIONS="-x /etc/opendkim.conf -P /var/run/opendkim/opendkim.pid"
#DKIM_SELECTOR=default
DKIM_KEYDIR=/etc/opendkim/keys

↑

構築(openSUSE)†

1. インストール
openSUSEではデフォルトのリポジトリだけだとOpenDKIMをインストール出来ないので、
MailServerリポジトリを追加してからインストールを行う。
リポジトリのプライオリティ、有効化は別途Yastから行っておく。

# zypper addrepo http://download.opensuse.org/repositories/server:mail/openSUSE_Leap_42.3/server:mail.repo
# zypper refresh
# zypper install opendkim

2. 設定
証明書はOpenDKIMに付属されているツール(opendkim-genkey)を用いて生成する。
生成した証明書はOpenDKIMのコンフィグ内にディレクトリを作成して保存しておく。
セレクタはDNSレコード、メールヘッダに付与される情報なので生成した日付にする。
コンフィグは証明書を元に署名/検証の制御を実装する。

# mkdir /etc/opendkim/cert
# cd /etc/opendkim/cert
# opendkim-genkey -D /etc/opendkim/cert -d mail.hoge.org -s 20170101 -b 2048
# chown opendkim.root 20170101.private
# chmod 400 20170101.private

＋

設定内容

/etc/opendkim/opendkim.conf

# 下記以外は全てコメントアウトする
----
[01] BaseDirectory       /run/opendkim
[02] Canonicalization    relaxed/relaxed
[03] ExternalIgnoreList  refile:/etc/opendkim/TrustedHosts
[04] InternalHosts       refile:/etc/opendkim/TrustedHosts
[05] KeyTable            refile:/etc/opendkim/KeyTable
[06] LogWhy              yes
[07] MinimumKeyBits      1024
[08] Mode                sv
[09] PidFile             /var/run/opendkim/opendkim.pid
[10] SignatureAlgorithm  rsa-sha256
[11] SigningTable        refile:/etc/opendkim/SigningTable
[12] Socket              inet:10027@127.0.0.1
[13] SoftwareHeader      no
[14] StrictHeaders       no
[15] StrictTestMode      no
[16] SubDomains          no
[17] Syslog              yes
[18] SyslogFacility      mail
[19] SyslogSuccess       yes
[20] UMask               022
[21] UserID              opendkim:opendkim

=================================================

# 概略のみ解説。詳細はコンフィグを見る
----
[01] デフォルトディレクトリの変更
[02] 署名の厳格化。simpleは改変禁止、relaxedは(SpaceをTabに変換等)多少許可
[03] 認証を行わないサーバリスト
[04] 送信時に必ず認証するサーバリスト
[05] 署名に利用する秘密鍵の指定
[06] 詳細ログの出力
[07] 証明書の最小ビット数
[08] 署名/検証のモード設定。s：署名、v：検証
[09] OpenDKIMのPIDファイル
[10] 署名のアルゴリズム。現在は、RSA-SHA256しか使えない
[11] 署名するメールのenvelope-fromの設定
[12] OpenDKIMの起動方法。今回はSocketではなく、TCP:10027で待ち受けを行う
[13] DKIM-FILTERヘッダーを追加。バージョンが載るので今回は付与しない
[14] DKIMの標準仕様(RFC5322)に沿っていないメールの処理。今回は受信する
[15] ヘッダ、ボディが[CRLF]で終了してない場合は不正と判断。今回は受信する
[16] サブドメインメールの署名付与。今回はサブドメインへの付与はしない
[17] syslog出力の有効化
[18] syslogのファシリティ
[19] 処理成功時にsyslogに出力する
[20] ファイル生成時のUMASK値
[21] OpenDKIMを実行するユーザの設定

　
/etc/opendkim/KeyTable

[セレクタ]._domainkey.[FQDN] [FQDN]:[セレクタ]:[秘密鍵]
---
20170101._domainkey.mail.hoge.org mail.hoge.org:20170101:/etc/opendkim/cert/20170101.private

　
/etc/opendkim/SigningTable

[署名対象のユーザ]@[FQDN] [セレクタ]._domainkey.[FQDN]
---
*@mail.hoge.org 20170101._domainkey.mail.hoge.org

　
/etc/opendkim/TrustedHosts

127.0.0.1
10.0.0.1

↑

起動†

MTA(Postfix)にOpenDKIMを組み込む為、milter設定を行う。
また、OpenDKIMをサービスとして登録して自動起動出来る様にする。
　
/etc/postfix/main.cf

# 下記を追記
----
smtpd_milters=inet:127.0.0.1:10027
non_smtpd_milters=$smtpd_milters
milter_default_action=accept

　
起動処理

# systemctl enable opendkim
# systemctl start opendkim
# netstat -an | grep 10027

↑

DNS設定†

DKIMを利用する場合、権威DNSサーバにTXTレコードを登録する必要がある。
DNSに登録するレコードは、証明書作成時に生成されたテキストファイルに記載されている。
権威DNSサーバ都合で一行に記載出来るレコード文字数が制限されている場合、
下記の様に括弧で囲んだ上で改行して登録する
　
"_adsp"については、ググれば解説が出てくるので省略。
今回は無難な設定として"dkim=unknown"としている。

_adsp._domainkey.mail.hoge.org.       IN  TXT    "dkim=unknown"
20170101._domainkey.mail.hoge.org.    IN  TXT  ( "v=DKIM1; k=rsa; p=AAAAAAAA"
                                                 "BBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBB"
                                                 "CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC"
                                                 "DDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDD"
                                                 "EEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEE"
                                                 "FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF"
                                                 "GGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGGG" )

↑

Amavis除外†

Amavisは単体で簡易的なDKIM署名付与・評価を行える様になっている。
上位MTAなど同一のADMDネットワーク内でAmavisを稼働させている場合、
デフォルト設定ではAmavisとOpenDKIMで署名付与と評価を実行し、二重署名になる場合がある。
この場合、Amavisの設定を変更して該当機能を無効化する。

DKIM機能を無効化する場合は数字を [0] にする
---
$enable_dkim_verification = 0;
$enable_dkim_signing = 0;