Re: [ja@sympa 27] DKIM設定につきまして

[IKEDA Soji <(アドレスを隠しました)>]

おはようございます。

2024/07/11 18:37、Takayuki Yamada <(アドレスを隠しました)>:
> なお、sympa.logを確認いたしましたが、それらしいログが出ていないように
> 見受けられます。もしDKIM関連の処理前後で出るログがあれば、ご教示いただきたいです。
> (grepして確認いたします。)

いえ。そのような探し方だとあらかじめ出ることが分かっているログしか
見つけることができません。実際には「想定とは異なるログが出ている」
とか「通常出るはずのログが出ていない」といった状況がしばしばあるた
め、問題点を見落としてしまいます。ですから私はログについて次のよう
に書きました。

| * 実際に試してみたときの、システムログに記録された内容。
|  問題のメッセージを「発信した時点」から「受信した時点」までの間の、
| sympa.logやMTAのログに記録された内容すべて。


> 設定した内容並びに秘密鍵の格納されているフォルダの権限等の確認コマンドの
> 実行結果も添付いたします。ご指摘の通り、区別が付くよう、異なっているドメインについては
> xxxx,yyyyと分けてマスキングを実施しております。


秘密鍵についてですが、鍵ファイルの上位のディレクトリ /etc/opendkim/keys/
のモードが 750 (drwxr-x—) となっているので、opendkimというユーザや
opendkimというグループに属するユーザ以外のユーザは鍵ファイルを読み
取れないです。

Sympaのサーバは通常 sympa というユーザの権限で動作するため、この鍵を
読めないと考えられます。sympaが鍵を読めるように設定 (sympaユーザを
opendkimグループに加える、上記ディレクトリのグループをsympaグループに
変える、などの方法があります) し、 再度試してみてはどうでしょうか。

※上記のように変える前と変えたあとで、それぞれメールを送信してみて、
  記録されるログに変化があるかどうかも確かめられるとよいですね。

また公開鍵についてですが、ドメインxxxxの公開鍵レコード (isml._domainkey.xxxx)
は2つ、ドメインyyyyの公開鍵レコード (isml._domainkey.yyyy) は3つのTXT
レコードに、それぞれ分かれているように見えます。鍵がDNSに正しく登録さ
れていないようです。

公開鍵がDNSに正しく登録されていなくても、メールサーバに上記の秘密鍵が
適切に設定されていれば、メッセージにDKIM署名をすること自体はできます。
ただしメッセージの送付先で署名の検証が失敗します。

公開鍵のDNSへの登録のしかたはDNSの管理者 (しばしばドメインのレジスト
ラがDNSの管理も請け負ってくれますが、DNSの管理を他業者や自分の組織で
行うこともできます) によって異なります。正しい登録の方法は、それらの管理
者に問い合わせて確認してください。


> 2024/07/11 18:37、Takayuki Yamada <(アドレスを隠しました)>のメール:
> 
> 池田様
> 
> こんばんは。
> 
> >  * 具体的な設定の内容。
> >  sympa.conf、robot.conf、該当のリストのconfigの内容。
> >  公開鍵のDNSレコードの内容。
> >  秘密鍵のパス。また、その秘密鍵のファイルのオーナー、グループ、モード。
> 
> >  (おそらく、私の説明した設定とはどこかが異なる設定がされているために、私の説明した設定とは
> >  異なる動作をするのだと思います。)
> >  改めて、設定した内容を添付いたします。
> 
> 設定した内容並びに秘密鍵の格納されているフォルダの権限等の確認コマンドの
> 実行結果も添付いたします。ご指摘の通り、区別が付くよう、異なっているドメインについては
> xxxx,yyyyと分けてマスキングを実施しております。
> 
> なお、sympa.logを確認いたしましたが、それらしいログが出ていないように
> 見受けられます。もしDKIM関連の処理前後で出るログがあれば、ご教示いただきたいです。
> (grepして確認いたします。)
> 
> お手数ですが、ご確認いただけますと幸いです。
> 
> 山田
> 
> 2024年7月4日(木) 21:21 IKEDA Soji <(アドレスを隠しました)>:
> 
> 
> > 2024/07/04 18:16、Takayuki Yamada <(アドレスを隠しました)>のメール:
> > 
> > 池田様
> > 
> > こんにちは。
> > (エイリアスである別ドメインから送信しエラーとなったため、再送いたします。)
> > 
> > ご回答いただき、ありがとうございます。
> > ご案内いただいたとおり設定いたしましたが、DKIMが付加されない状況です。
> 
> 次のような情報を提示していただけますでしょうか。
> 
>  * 具体的な設定の内容。
> 
>   sympa.conf、robot.conf、該当のリストのconfigの内容。
>   公開鍵のDNSレコードの内容。
>   秘密鍵のパス。また、その秘密鍵のファイルのオーナー、グループ、モード。
> 
>   (おそらく、私の説明した設定とはどこかが異なる設定がされているために、私の説明した設定とは
>   異なる動作をするのだと思います。)
> 
> * 実際に試してみた際の、具体的な手順、結果の確認方法、確認した結果。
> 
>   送信元アドレスなどを含む具体的なメッセージの内容。
>   送信先のリストのアドレス。
>   受信したメッセージの何をどう確認したのか。
>   ヘッダ全体などを含む具体的なメッセージの内容。
> 
> * 実際に試してみたときの、システムログに記録された内容。
> 
>   問題のメッセージを「発信した時点」から「受信した時点」までの間の、sympa.logやMTAのログ
>   に記録された内容すべて。
> 
> 以上のような情報を客観的に示していただけると、解決に近づくかもしれません。
> 
> なお、ドメイン名やIPアドレスなどは必要に応じて伏せ字にしていただいて構いませんが、伏せてあっても異なるものは区別がつくようにしていただきたいです 
> (すべてを「xxx」など同じもので置き換えてしまうのではなく、それぞれ「aaa」、「bbb」のように変えていただきたいです)。
> 
> 
> > 弊社側で抱えている課題として、DMARCがFailしているためか、特定のメールサーバーから
> > 受信が拒否されており、これを解消したいという意図になります。現在Sympaから送信されている
> > メールを見ると、envelope-fromとheader-fromのドメインが一致しておらず、SPF自体はPASSしますが、
> > DMARCがFailしております。
> > 
> > DKIMを付加し、dタグとheader-fromが一致するようにすることでDMARCがPASSすると考え
> > 今回お問い合わせいたしております。(つまり先にご案内いただいた、dkim_signer_domainに
> > 特別な理由からheader-fromのドメインを設定しております。)
> > もし出来るのであれば、header-fromのドメインをサイトのドメインに書き換えが出来れば
> > これでも課題が解消されるのですが、こちらは可能でしょうか。
> 
> Envelope Fromとheader Fromのドメインが一致しないのは、一般的なメーリングリストでは普通のことです。
> 
> しかし、Yamadaさんの組織ではHeader from、つまりメーリングリストへの投稿の送信元アドレスが固定的に決まっているということなのですね。
> 
> もしもそうであれば、その送信元アドレスのドメインとメーリングリストサービスのドメインを一致させることができさえすれば、課題はクリアされると思います。
> 
> たとえば、送信元アドレスをメーリングリストのオーナーのアドレスとする 
> (つまり、投稿に使っているメールソフトの設定で自分のアドレスをリストオーナーのアドレスに設定する) といった方法でもよいでしょう。
> 
> または、メーリングリストサービスのドメインを、送信元アドレスのドメインと同じものに設定することも考えられるでしょう 
> (同じドメインのアドレスのうち、メーリングリストのアドレス宛てのメッセージのみSympaのサーバにルーティングする必要がありますが)。
> 
> > 大変お手数ですが、ご回答宜しくお願いいたします。
> > 
> 
> — ikedas
> 
> 
> > 2024年6月29日(土) 10:25 IKEDA Soji <(アドレスを隠しました)>:
> > こんにちは。
> > 
> > > 2024/06/26 17:43、Takayuki Yamada <(アドレスを隠しました)>のメール:
> > > 
> > > 標記の件につきまして、特定の仮想ドメインに対して設定を実施いたしましたが、
> > > DKIMが付与されていないように見受けられます。(メールヘッダにそもそも付与されて
> > > おりませんでした。)
> > > 設定の不足等があればご教示いただけないでしょうか。
> > > 
> > > ■情報
> > >　 ・Sympaバージョン ： 6.2.40
> > >　 ・sympa.confならびにrobot.conf ：添付をご確認下さい。(一部伏せ字にしております。)
> > > 
> > > 以上、宜しくお願いいたします。
> > 
> > 添付の設定を見てのコメントです。
> > 
> > *   これはとってもわかりにくいのですが、「dkim_feature on」だけでは多くの場合DKIM署名が付
> >     与されません。「dkim_signature_apply_on any」という設定も追加してください。
> > 
> >     (dkim_signature_apply_onパラメータは近い将来、設定しなくてよくなるかもしれません。)
> > 
> > *   dkim_selectorにはセレクタのみを設定します。DNSの公開鍵レコードのFQDN
> >     (セレクタ._domainkey.メールドメイン) を設定するのではありません。
> > 
> > *   Sympa 6.2.70以前にはバグがあって、dkim_signer_domainを明示的に設定する必要がありま
> >     す。よほど特別な理由がない限り (きっとないと思います)、メーリングリストサービスのメールド
> >     メイン名と同じものを設定します。
> > 
> > まとめると、DKIMに必要な設定はこんなふうになります (セレクタをselector、メールドメイン名を mail. example.org 
> > とします)。
> > 
> > dkim_feature             on
> > dkim_signature_apply_on  any
> > dkim_private_key_path    /秘密鍵/ファイル/の/パス
> > dkim_selector            selector
> > dkim_signer_domain       mail.example.org
> > 
> > それと、DKIMに対応したら次はARCも対応を考えておられると思いますが、その際はなるべく最新
> > のSympaにアップグレードされることをおすすめします。
> > 現在の最新版は6.2.72で、間もなく6.2.74がリリースされるはずです。
> > 
> > — ikedas
> > 
> 
>