Re: [ja@sympa 26] DKIM設定につきまして

[Takayuki Yamada <(アドレスを隠しました)>]

池田様

こんばんは。

>  * 具体的な設定の内容。

>  sympa.conf、robot.conf、該当のリストのconfigの内容。
>  公開鍵のDNSレコードの内容。
>  秘密鍵のパス。また、その秘密鍵のファイルのオーナー、グループ、モード。

>  (おそらく、私の説明した設定とはどこかが異なる設定がされているために、私の説明した設定とは
>  異なる動作をするのだと思います。)

>  改めて、設定した内容を添付いたします。

設定した内容並びに秘密鍵の格納されているフォルダの権限等の確認コマンドの

実行結果も添付いたします。ご指摘の通り、区別が付くよう、異なっているドメインについては

xxxx,yyyyと分けてマスキングを実施しております。

なお、sympa.logを確認いたしましたが、それらしいログが出ていないように

見受けられます。もしDKIM関連の処理前後で出るログがあれば、ご教示いただきたいです。

(grepして確認いたします。)

お手数ですが、ご確認いただけますと幸いです。

山田

2024年7月4日(木) 21:21 IKEDA Soji <(アドレスを隠しました)>:

> 2024/07/04 18:16、Takayuki Yamada <(アドレスを隠しました)>のメール:
>
> 池田様
>
> こんにちは。
> (エイリアスである別ドメインから送信しエラーとなったため、再送いたします。)
>
> ご回答いただき、ありがとうございます。
> ご案内いただいたとおり設定いたしましたが、DKIMが付加されない状況です。

次のような情報を提示していただけますでしょうか。

 * 具体的な設定の内容。

  sympa.conf、robot.conf、該当のリストのconfigの内容。
  公開鍵のDNSレコードの内容。
  秘密鍵のパス。また、その秘密鍵のファイルのオーナー、グループ、モード。

  (おそらく、私の説明した設定とはどこかが異なる設定がされているために、私の説明した設定とは
  異なる動作をするのだと思います。)

* 実際に試してみた際の、具体的な手順、結果の確認方法、確認した結果。

  送信元アドレスなどを含む具体的なメッセージの内容。
  送信先のリストのアドレス。
  受信したメッセージの何をどう確認したのか。
  ヘッダ全体などを含む具体的なメッセージの内容。

* 実際に試してみたときの、システムログに記録された内容。

  問題のメッセージを「発信した時点」から「受信した時点」までの間の、sympa.logやMTAのログ
  に記録された内容すべて。

以上のような情報を客観的に示していただけると、解決に近づくかもしれません。

なお、ドメイン名やIPアドレスなどは必要に応じて伏せ字にしていただいて構いませんが、伏せてあっても異なるものは区別がつくようにしていただきたいです (すべてを「xxx」など同じもので置き換えてしまうのではなく、それぞれ「aaa」、「bbb」のように変えていただきたいです)。


> 弊社側で抱えている課題として、DMARCがFailしているためか、特定のメールサーバーから
> 受信が拒否されており、これを解消したいという意図になります。現在Sympaから送信されている
> メールを見ると、envelope-fromとheader-fromのドメインが一致しておらず、SPF自体はPASSしますが、
> DMARCがFailしております。
>
> DKIMを付加し、dタグとheader-fromが一致するようにすることでDMARCがPASSすると考え
> 今回お問い合わせいたしております。(つまり先にご案内いただいた、dkim_signer_domainに
> 特別な理由からheader-fromのドメインを設定しております。)
> もし出来るのであれば、header-fromのドメインをサイトのドメインに書き換えが出来れば
> これでも課題が解消されるのですが、こちらは可能でしょうか。

Envelope Fromとheader Fromのドメインが一致しないのは、一般的なメーリングリストでは普通のことです。

しかし、Yamadaさんの組織ではHeader from、つまりメーリングリストへの投稿の送信元アドレスが固定的に決まっているということなのですね。

もしもそうであれば、その送信元アドレスのドメインとメーリングリストサービスのドメインを一致させることができさえすれば、課題はクリアされると思います。

たとえば、送信元アドレスをメーリングリストのオーナーのアドレスとする (つまり、投稿に使っているメールソフトの設定で自分のアドレスをリストオーナーのアドレスに設定する) といった方法でもよいでしょう。

または、メーリングリストサービスのドメインを、送信元アドレスのドメインと同じものに設定することも考えられるでしょう (同じドメインのアドレスのうち、メーリングリストのアドレス宛てのメッセージのみSympaのサーバにルーティングする必要がありますが)。

> 大変お手数ですが、ご回答宜しくお願いいたします。
>

— ikedas


> 2024年6月29日(土) 10:25 IKEDA Soji <(アドレスを隠しました)>:
> こんにちは。
>
> > 2024/06/26 17:43、Takayuki Yamada <(アドレスを隠しました)>のメール:
> >
> > 標記の件につきまして、特定の仮想ドメインに対して設定を実施いたしましたが、
> > DKIMが付与されていないように見受けられます。(メールヘッダにそもそも付与されて
> > おりませんでした。)
> > 設定の不足等があればご教示いただけないでしょうか。
> >
> > ■情報
> >　 ・Sympaバージョン ： 6.2.40
> >　 ・sympa.confならびにrobot.conf ：添付をご確認下さい。(一部伏せ字にしております。)
> >
> > 以上、宜しくお願いいたします。
>
> 添付の設定を見てのコメントです。
>
> *   これはとってもわかりにくいのですが、「dkim_feature on」だけでは多くの場合DKIM署名が付
>     与されません。「dkim_signature_apply_on any」という設定も追加してください。
>
>     (dkim_signature_apply_onパラメータは近い将来、設定しなくてよくなるかもしれません。)
>
> *   dkim_selectorにはセレクタのみを設定します。DNSの公開鍵レコードのFQDN
>     (セレクタ._domainkey.メールドメイン) を設定するのではありません。
>
> *   Sympa 6.2.70以前にはバグがあって、dkim_signer_domainを明示的に設定する必要がありま
>     す。よほど特別な理由がない限り (きっとないと思います)、メーリングリストサービスのメールド
>     メイン名と同じものを設定します。
>
> まとめると、DKIMに必要な設定はこんなふうになります (セレクタをselector、メールドメイン名を mail. example.org
> とします)。
>
> dkim_feature             on
> dkim_signature_apply_on  any
> dkim_private_key_path    /秘密鍵/ファイル/の/パス
> dkim_selector            selector
> dkim_signer_domain       mail.example.org
>
> それと、DKIMに対応したら次はARCも対応を考えておられると思いますが、その際はなるべく最新
> のSympaにアップグレードされることをおすすめします。
> 現在の最新版は6.2.72で、間もなく6.2.74がリリースされるはずです。
>
> — ikedas
>

$ sudo ls -al /etc/opendkim/keys/
合計 0
drwxr-x--- 5 opendkim opendkim  69  7月  3 13:21 .
drwxr-xr-x 3 root     opendkim 118  3月  1  2022 ..
drwxr-xr-x 2 opendkim opendkim  42  7月  3 13:22 yyyy
drwxr-xr-x 2 opendkim opendkim  42  3月  1  2022 isml.xxxx


$ sudo ls -al /etc/opendkim/keys/yyyy
合計 8
drwxr-xr-x 2 opendkim opendkim   42  6月 26 12:41 .
drwxr-x--- 5 opendkim opendkim   69  7月  3 13:21 ..
-rwxr-xr-x 1 opendkim opendkim 1679  6月 26 12:41 isml.private
-rw------- 1 opendkim opendkim  490  6月 26 12:41 isml.txt

$ sudo ls -al /etc/opendkim/keys/isml.xxxx
合計 8
drwxr-xr-x 2 opendkim opendkim  42  3月  1  2022 .
drwxr-x--- 5 opendkim opendkim  69  7月  3 13:21 ..
-rwxr-xr-x 1 opendkim opendkim 891  3月  1  2022 isml.private
-rw------- 1 opendkim opendkim 315  3月  1  2022 isml.txt


$ dig isml._domainkey.yyyy
isml._domainkey.yyyy. 300       IN      TXT     "v=DKIM1\; k=rsa\; "
isml._domainkey.yyyy. 300       IN      TXT     
"0aGB6vfLO1t9r/mxZm+0WqrpLUjqdMp+CLjmPJqAwvWgprw5O5Zjw7Yd8zoEFvQdyxJmD8iwnzfeqRlj+PNHYkCA9deWIcRuSuXKs0bUoooFGFtR0mCkMnyfjp06oD3nnUWfGIcQIDAQAB"
isml._domainkey.yyyy. 300       IN      TXT     
"p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAqvDGmJ2yyxAQeuMlfosdsIAjuGI8RyQ8ifRWFHJDPnBa9vC/VAlHvB7f49AE2MnCBnbm8WjlQwS2ZIbNzbMdsY62IlbU3PZvRHmlAodhd3z9tTFeYsNpDc+VE252YP423uJYKWbDAR0EZuTnDedhdB41CweW1oWrbJV56Un43ILNJlOvupE8xODDDtvHk6JJY3vT8UZ347TzrO"

$ dig isml._domainkey.xxxx
isml._domainkey.isml.xxxx. 300 IN TXT   "v=DKIM1\; k=rsa\; "
isml._domainkey.isml.xxxx. 300 IN TXT   
"p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC3UB/xCEFU+9NwMM8AkOxoyqSWILYQD5EkbI27rB5/hDe8EHpi2op08WGtMZTmsZtuJ5fW6g52QC7blaQOTvZVDcrPytojuBZ+ICLxY8ADvdgGk/Z8gyUDsnW2ixCvw4om524Eo+0WNZ3B67FsN6cSvCxqmeCG2u7CONy71utlfwIDAQAB"

Attachment: robot.conf_fixed
Description: Binary data