+7 (495) 320-70-49
- Назад
- Телефоны
- +7 (495) 320-70-49
- Заказать звонок
info@proxmox.su
Москва, Бакунинская улица, 69с1
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

PMG конфигурация DKIM, Proxmox Mail Gateway

soapee01

Guest

11.06.2021 20:57:00

Просто оставляю это здесь, может кому-то поможет. Несколько часов возился, чтобы это заработало. Вот что я изначально сделал, чтобы включить ключи DKIM: создал селектор (pmg2021), поставил галочку на подпись исходящей почты. Посмотрел запись DNS, добавил домен для подписи. Но DKIM так и не становился валидным, что бы я ни делал. Тесты MXTOOLBOX (и другие) показывали, что запись DKIM валидна. Google же выдавал примерно вот такое:
Код:
ARC-Authentication-Results: i=1; mx.google.com;
dkim=fail header.i=@example.com header.s=pmg2021 header.b=PRuLiID1;

Проблему решил повторной генерацией ключей. Публичный ключ нигде в системе найти не смог, но видно, что приватный ключ перезаписывался, если посмотреть файл /etc/pmg/dkim/pmg2021.private. Хотелось бы использовать что-то вроде этого для проверки правильности ключей, если кто подскажет, куда копать (проверить fingerprint):
Код:
ssh-keygen -l -f /etc/pmg/dkim/pmg2021.private
ssh-keygen -l -f /etc/pmg/PUBLIC_KEY_WHERE-EVER-YOU-ARE

В общем: редактируем селектор, оставляем его PMG2021 с размером ключа 2048, ставим галочку на перезапись существующего файла, кликаем кнопку просмотра записи DNS.
Ещё момент: для DKIM-записи нужны оба значения. Я не привык видеть запись именно так, и это тоже создавало проблемы. Текстовая запись в итоге выглядит примерно так:
Selector
Код:
pmg2021._domainkey
Value
Код:
"v=DKIM1; h=sha256; k=rsa; "p=первый_длинный_ключ_от_pmg" "второй_короткий_ключ_от_pmg"

Проверяем через mxtoolbox dkim checker.
Снова тестируем в Google:
Код:
ARC-Authentication-Results: i=1; mx.google.com;
dkim=pass header.i=@example.com header.s=pmg2021 header.b=YxEWmdGn;

treloskilo Guest	#2 0 05.04.2022 11:15:00 Привет! Я разобрался. Причина сбоя DKIM — антивирусная проверка в фаерволе Watchguard. Я включил правило для проверки исходящих сообщений. Как только я его отключил — DKIM заработал нормально.

dthompson

Guest

31.03.2022 22:57:00

Можешь, пожалуйста, объяснить, как это сделать? Я пытаюсь разобраться сам, но никак не получается. Пробовал что-то вроде этого, но ничего не работает: ssh-keygen -y -f mail.private > mail.public

Обновление: Решил проблему сам, на всякий случай для тех, кто ищет решение. Вот неплохой веб-интерфейс: https://8gwifi.org/pempublic.jsp

treloskilo

Guest

01.04.2022 13:58:00

Я использовал этот вариант, и у меня он работает. https://www-sysadminsdecuba-com.tra...uto&_x_tr_tl=en&_x_tr_hl=en-US&_x_tr_pto=wapp Если я отправляю письмо из командной строки pmg, оно подписывается с помощью DKIM. Но если отправляю через почтовый клиент (Outlook — у нас локально Exchange 2016), DKIM не проходит проверку.

dthompson

Guest

01.04.2022 15:25:00

Вы подписываете все свои домены с помощью записи DNS? Ваш Exchange использует PMG в качестве смарт-хоста или отправляет почту напрямую? Если отправляете напрямую, то вам нужно извлечь ключ, о котором говорилось выше, и установить его на сервер Exchange, чтобы подписывать все исходящие письма. У меня настроено так: почтовый клиент --> отправка на почтовый сервер --> сервер пересылает через смарт-хост PMG --> PMG подписывает DKIM и отправляет.

В моём случае, почему я и спрашивал, как извлечь DKIM, — у меня есть клиент, у которого PMG стоит на фронтенде, но есть другой сервер вне их инфраструктуры, который участвует во всех записях DKIM / DMARC / SPF. Этот сервер используется для массовой рассылки и не работает через смарт-хост. У них письма помечались как спам из-за отсутствия записи DKIM, поэтому мне пришлось добавить её напрямую.

treloskilo

Guest

01.04.2022 16:06:00

Почтовый клиент --> Отправка на почтовый сервер --> Почтовый сервер пересылает на смарт-хост PMG --> PMG подписывает DKIM и отправляет. PMG на Exchange выступает как смарт-хост. Вот что я получаю от Google:

Authentication-Results: mx.google.com; dkim=neutral (хеш тела не прошёл проверку) header.i=@domain.com header.s=hg header.b=y3nGPgv4; spf=pass (google.com: домен user@domain.com разрешает x.x.x.x как отправителя) smtp.mailfrom=user@domain.com; dmarc=pass (p=NONE sp=NONE dis=NONE) header.from=domain.com

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=domain.com; s=hg; t=1648821881; bh=zKlHdGOOcf...=; h=From:To:Subject; Date; b=y3nGPgv4rz.....

dthompson Guest	#7 0 01.04.2022 17:30:00 Вы подписываете DKIM в исходящих сообщениях в PMG? Ваш сервер Exchange добавляет свою подпись и отправляет, перезаписывая запись PMG? Я знаю, вы сказали, что PMG подписывает, но не подмешивает ли Exchange свою подпись?

treloskilo Guest	#8 0 02.04.2022 08:38:00 Exchange сервер не поддерживает DKIM. На самом деле, в локальном DNS (DOMAIN CONTROLLER) я указал тот же TXT-запись для DKIM, что и у нашего публичного DNS-провайдера.

Stoiko Ivanov Guest	#9 0 05.04.2022 10:54:00 * Какой вывод выдает команда `pmgversion -v`? * Случайно у вас не настроено правило Exclaimer с очень длинным текстом или строкой?

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры