在发布了上一篇文章《Fedora快速配置Postfix并挂载OpenDKIM、OpenDMARC》之后,有朋友希望我补充下OpenDKIM、OpenDMARC的配置,以下是他们的配置实例(系统为Fedora Server 44)。
其实大家可以参考我之前写的《Postfix小结》。
首先是OpenDKIM部分:
LogWhy Yes
Syslog Yes
SyslogSuccess Yes
UMask 002
UserID opendkim:opendkim
Mode sv
SubDomains No
X-Header No
Canonicalization relaxed/relaxed
FixCRLF yes
KeyTable /etc/opendkim/KeyTable
SigningTable refile:/etc/opendkim/SigningTable
ExternalIgnoreList refile:/etc/opendkim/TrustedHosts
InternalHosts refile:/etc/opendkim/TrustedHosts
SignatureAlgorithm rsa-sha256
OversignHeaders From, To, Subject
MinimumKeyBits 1024
TemporaryDirectory /tmp
Socket local:/run/opendkim/opendkim.sock
注意,MinimumKeyBits需设置为1024,因为国内的一些邮局还在用着1024的key(比如网易),设置2048,会导致对他们来信不信任。
我们邮局生成的OpenDKIM签名,现在推荐生成2048的key。
opendkim-genkey -D /etc/opendkim/keys/${server_hostname}/ -b 2048 -h sha256 -r -s default -d ${server_hostname} -v
OversignHeaders也可以使用以下参数,更安全,但是发信较为麻烦。
OversignHeaders From, To, Subject, Date, Message-ID
接下来是OpenDMARC部分(其中的${server_hostname}是我提前定义好的服务器hostname):
AuthservID ${server_hostname}
TrustedAuthservIDs ${server_hostname}
RejectFailures true
RequiredHeaders true
SoftwareHeader true
SPFIgnoreResults true
SPFSelfValidate true
Syslog true
UMask 007
UserID opendmarc:mail
PublicSuffixList /usr/share/publicsuffix/public_suffix_list.dat
IgnoreHosts /etc/opendmarc/ignore.hosts
Socket local:/run/opendmarc/opendmarc.sock
其中/etc/opendmarc/ignore.hosts内容:
127.0.0.0/8
::1
${server_ip_list}
${server_ipv6_list}
注意,需要提前dnf安装publicsuffix-list包。
转载请注明转自: kn007的个人博客 的《Fedora下关于OpenDKIM、OpenDMARC的配置实例》

Comments