• 08621 - 9 88 30 88

SPF und DKIM mit Univention UCS Server

Voncubewerk

SPF und DKIM mit Univention UCS Server

SPF ist eine Methode um festzulegen, welche Server berechtigt sind, E-Mails für eine bestimmte Domain wie z.B. cubewerk.de zu versenden.

Der Empfänger kann hiermit prüfen, ob die Mail von einem gültigen Absenderserver kommt oder evtl. von einem Spammer verschickt wurde.

Alles was hierzu nötig ist, ist ein passender DNS-Eintrag im DNS-Server – des in der Regel – Providers, über den man mit dem UCS-Server seine ausgehenden Mails relayed. Am Beispiel von Domainfactory sieht unser Eintrag wie folgt aus:

cubewerk.de text = „v=spf1 mx a include:ispgateway.de -all“

Zusätzlich sei auch DKIM erwähnt:

Dies ist eine Methode, um aus dem e-Mail Body sowie Teilen des Headers und einem nur dem Absender bekannten privaten Schlüssel, eine Hashsumme zu bilden und diese an die E-Mail anzuhängen. Empfänger können dann verifizieren, ob die E-Mail wirklich vom Absender stammt und ob diese unter Umständen auf dem Transportweg verändert wurde. Es handelt sich hier nicht um Verschlüsselung. Lediglich eine Verifizierungsmöglichkeit für den Empfänger.

Zur Einrichtung kommt auf Linux-Systemen opendkim-tools zum Einsatz. Bei Univention muss man ein passendes Debian-Repo hinterlegen und kann sich bei der Einrichtung in großen Teilen an die Anleitung von Herr Kofler (siehe Quellen)

Folgendes war jedoch abweichend zu beachten:

Univention arbeitet bei allen Konfigurationen mit Templates. Somit folgende Einstellungen zusätzlich in ‚/etc/univention/templates/files/etc/postfix/main.cf.d/10_general‘ hinterlegen:

milter_default_action = accept
milter_protocol = 6
smtpd_milters = inet:localhost:12345
non_smtpd_milters = inet:localhost:12345

und mit … einlesen:

univention-config-registry commit /etc/postfix/main.cf

Zusätzlich war es abweichend nötig, in der /etc/opendkim.conf die Zeile mit Socket … einzukommentieren.

Die Schlüssel können mit verschiedenen Tools erstellt werden. Das Tool von opendkim hat bei uns nicht funktioniert – stattdessen:

openssl genrsa -out private.key 2048

openssl rsa -in private.key -pubout -out public.key

Der Pubkey muss dann ab in den DNS – jedoch in einer bestimmten Form – ohne Anführungszeichen oder Zeilenumbrüche:

v=DKIM1; k=rsa; p=
MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAwmsSi6YbyPESxG20F8zA7NeTx40/PaaH6N6N6lI+5IageFUkxFskLBlGeKsbKrb1UN1o1l85kdTnWC1pn3SB+dnaMbhlTqpsY1mZGoxotJxGSnpYmMwfJ3DpJocAxoG55Wu+58rOdbUFkoAUG2RLrzaPp0xzvkTIWPrXHOB/koOeStdHos7QUiliaBdAoupG4fwfHoi2IPJPLzHfynefBykiVGmPUGjJxowJ/bWTbxwkVKGwjIWPfzqvb4R1WrUbLAh4HL//Y+uiadD07u+hOFxAf0DLHJW8E1RrDtb6Sb6hsQTvdU+3Quk6xdm1hRhKqllbP8oTpwGXW91WIZc+awIDAQAB

Verifiziert werden kann dann mit:

http://dkimcore.org/c/keycheck

 

Ausgehende E-Mails „stempelt“ jetzt Postfix brav in der Form:

Dec 4 08:24:02 ucs postfix/smtpd[8023]: connect from unknown[192.168.0.13]
Dec 4 08:24:02 ucs postfix/smtpd[8023]: 4A96A21F2: client=unknown[192.168.0.13]
Dec 4 08:24:02 ucs postfix/cleanup[8026]: 4A96A21F2: message-id=<1kn6gvvepd02.8zha7uf6nao7@intern.cubewerk.local>
Dec 4 08:24:02 ucs opendkim[7284]: 4A96A21F2: DKIM-Signature field added (s=03122017, d=cubewerk.de)
Dec 4 08:24:02 ucs postfix/qmgr[7669]: 4A96A21F2: from=<test@cubewerk.de>, size=148440, nrcpt=2 (queue active)

Und der Empfäger wie hier ein Google-Postfach ist happy:

DKIM: ‚PASS‘ mit Domain cubewerk.de

Quelle:

https://de.wikipedia.org/wiki/Sender_Policy_Framework

https://de.wikipedia.org/wiki/DomainKeys

‚https://kofler.info/dkim-konfiguration-fuer-postfix/‘

Über den Autor

cubewerk administrator