class: center, middle ![img33r](postbote1.webp) # Und nochmal Mailserver ### DMARC-Reports, DKIM-Port, DNS auslesen, Testmail senden, Automatisieren mit commonInstall ### Hauke Goos-Habermann #### https://goos-habermann.de --- ### Über mich - Entwickler des
Softwareverteilungssystems m23
- Organisator der
Kieler Open Source und Linux Tage
-
Dienstleister zu m23, Linux und Freier Software
- Softwareentwicklung (PHP, BASH, C/C++, JS, Python und was sonst so gebraucht wird...) - Administration - Schulungen - Support - Beratung - quasi **alles**, *was mit Linux zu tun hat* - Wöchentlicher Livestream *"Jean und Hauke Show"* auf https://www.youtube.com/c/LinuxGuides - Community-Video-Serie *"Nicht der Weisheit letzter Schluß"* auf
tube.tchncs.de
und
YouTube
mit **beruflichen** oder **privaten Projekten** - Kümmert sich auch um Mailserver :-) --- ### DMARC-Reports ![img33r](postbote2.webp) Anderen Mailservern kann man über den **_dmarc-Eintrag** im DNS mitteilen, was dieser mit Mails anstellen soll (z.B. zurückweisen), die (**angeblich**) **von unserem Mailserver gesendet** wurden und die **nicht SPF-** und **DKIM-konform** sind und auch um einen ausführlichen oder zusammenfassenden **Fehlerbericht bitten**. Beispiele: * Kompletter Bericht:
dmarc-komplett.xml
* Zusammenfassung:
dmarc-zusammenfassung.xml
Meine anderen Videos zu Mailserver: * https://goos-habermann.de/weisheit-10158-Eigenen-Mailserver-konfigurieren-Googles-und-Yahoos-DKIM-Anforderungen-2024 * https://goos-habermann.de/weisheit-10159-Mehr-zu-Mailservern-SPF-und-DMARC --- ### DNS auslesen ![img33r](postbote3.webp) Auch mit Bordmitteln können wir die **DNS-Einträge** zumindest **auslesen**: ```bash # RDNS dig -x
+short # SPF dig goos-habermann.de txt # DMARC dig _dmarc.goos-habermann.de txt # DKIM dig default._domainkey.goos-habermann.de txt ``` --- ### Testmail senden ![img33r](postbote4.webp) Ohne eine Testmail zu senden, können nur die DNS-Einträge und der Mailserver (von außen) getestet werden. Es gibt auch Dienste, an die wir eine Mail (von unserem Mailserver aus) senden können, damit dieser Dienst überprüft, ob die Mail und der Mailserver richtig (eingerichtet) sind. * https://www.mail-tester.com * https://dkimvalidator.com * https://www.emailchecky.com/de ***Hinweis:*** Die Links sind nur Beispiele für **öffentlich verfügbare Dienste** zum Testen von Mails auf DKIM-Konformität und ob die Mail und der Mailserver ansonsten korrekt ist. --- ### Korrektur: DKIM-Port ![img20r](postbote5.webp) Bisher war der **Port** von OpenDKIM **nicht offen**, sodaß Signatur-Anfragen von Postfix ins Leere liefen. Um den Port zu öffnen, führen wir noch folgendes aus: ```bash # Vorhandene aktive Port-Konfiguration entfernen sed -i -e '/^Socket[[:space:]]*inet:8891.*/d' /etc/opendkim.conf # Port lokal öffnen echo 'Socket inet:8891@localhost' >> /etc/opendkim.conf # OpenDKIM neu starten service opendkim restart # Testen, ob der Port offen ist netstat -an | grep 8891 ``` Das kommt also noch zur der Konfiguration, die ich in https://goos-habermann.de/weisheit-10158-Eigenen-Mailserver-konfigurieren-Googles-und-Yahoos-DKIM-Anforderungen-2024 beschrieben hatte, hinzu. --- ### Automatisieren mit commonInstall ```bash # Skriptbibliothek laden wget https://goos-habermann.de/commonInstall.inc; . commonInstall.inc # Leerzeichen getrennte Liste mit Domains, für die der Mailserver zuständig ist: export DT_INST_domain='mail.example.com mail2.example.com' # Hostname des Servers export DT_INST_hostname='example.com' # Installiert dovecot (imap/pop3) und postfix (SMTP) CI_mailServerInstall # Aktiviert DKIM-eMail-Signaturen CI_installDKIM # Aktiviert den PIX-Workaround für alte Exchange-Server CI_postfix_enablePIXworkaround # Erlaubt unverschlüsselte Mailübertragung, wenn andere Mailserver kein TLS unterstützen CI_postfix_disableTLSRequirement ``` ***Hinweis:*** Die Verwendung geschieht auf eigenen Gefahr und kann zu komplettem Datenverlust und/oder nicht mehr nutzbarem/bootfähigen Servern führen. --- ### Mailserver-Videos ![img33r](ki-wunschvideo.webp) Mehr Videos zu Mailservern findet Ihr unter: * https://goos-habermann.de/howto-10057-Video-TuxTage-20-Linux-WebMailDatenbank-Server-Installation-Konfiguration-Absicherung * https://goos-habermann.de/weisheit-10158-Eigenen-Mailserver-konfigurieren-Googles-und-Yahoos-DKIM-Anforderungen-2024 * https://goos-habermann.de/weisheit-10159-Mehr-zu-Mailservern-SPF-und-DMARC --- class: center, middle ### Informationen zu mir und meinen Dienstleistungen, m23, ... ### https://goos-habermann.de