DKIM: Verständnis, Konfiguration und Installation von OpenDKIM

SSL Lock

Dank OpenDKIM funktioniert eine DKIM-Integration in Postfix sehr einfach.
Die Konfiguration ist geradlinig, ich versuche auf einige Details einzugehen.
Verwendet habe ich für diesen Artikel Debian in der Ausführung „stable“ und „testing“.

Vorwort zum Einstieg

In Postfix eingebunden wird OpenDKIM als Milter, kurz für „Mail Filter“.
Ein Milter kann Mail auf verschiedene Art und Weisen bearbeiten/verändern.

Zum Unglück des Verständnisses gibt es hiervon zwei Arten: Einen non-SMTP sowie SMTP-only Filter:

Postfix: Milter (via postfix.org/MILTER_README.html)
Postfix: Milter (via postfix.org/MILTER_README.html)

Nachrichten, die ich auf dem klassischen Wege via SMTP-Client – lassen wir es Thunderbird sein – in meinen Mailserver eingespeist habe, wird der SMTP-only Filter übernehmen.
Erreicht die Nachricht das System etwa via Sendmail, was etwa beim lokalen Versand via PHP der Fall sein kann – würde der SMTP Daemon nicht verwendet, hier setzt der non-SMTP Filter ein.
Die Notwendigkeit einer solchen Trennung beschreibt Postfix als technisch un­ab­ding­bar.

Hat die Mail den OpenDKIM Milter durchlaufen, wird diese um ein weiteres Header-Feld bereichert, hier ein Beispiel:

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=debinux.de;
	s=default; t=1415013168;
	bh=Vp99QdXdPejs1n1k3tTN2TGAXYycACrLStnOIIFR6Yw=;
	h=Date:From:Subject:To;
	b=fZ20nD1C5BX5bLQBZJZLqa+SGzlyPX7zi4nuP4e3Rcb6veFnrW1rqiPwjab0JbA3k
	 DsHCEMnvqttEw77QSbU+olgAknROGXzEZ9zAHCbK+CZLH0dgfC9ZYtJp5c6v8LoBRb
	 Qm2wDGKLYU6WKMdiq3O67g5W/f11rfqD5/XFtkSE=

Einige Parameter präsentieren sich selbsterklärend, etwa die Version des DKIM-Standards („v“), Signaturalgorithmus („a“) oder Domänenname („d“). Der Signaturalgorithmus „rsa-sha256“ ist die gängigste Methode.
Ein etwas in die Jahre gekommener Artikel zu DKIM Signaturen von Johannes Endres und Patrick Koetterauf auf heise.de, ist auch 2014 noch empfehlenswert.

Wichtiges Grundwissen für die weitere Konfiguration, sind zudem der Selektor („s“) und die Kanonisierung („c“).

Der Selektor („s“) darf frei gewählt- und weitesgehend als Name des Keys verstanden werden. Er wird dem Key vorangestellt. Üblicherweise wird hierfür „default“ verwendet, allerdings unterliegt der Wert keiner Richtlinie. Google verwendet beispielsweise „google“ als Selektor für Apps – um noch einmal auf die Banalität hinzuweisen. Auf Sonderzeichen und Umlaute bitte verzichten. :)

Nächster Punkt ist die Wahl der Kanonisierung („c“). Dazu folgende Erklärung…
Header und Nachrichtentext werden getrennt signiert. Bevor OpenDKIM sich nun zuerst an den Header macht, wird es diesen in eine Normalform umsetzen. Dafür benutzt es einen Algorithmus: „simple“ oder „relaxed“.
Je nach Algorithmus fällt diese Normalisierung mehr oder weniger Streng aus.

  • „simple“ ist die strengere Methode, eine Nachricht oder einen Header zu normalisieren. „simple“ wird einen Header „as-is“ signieren. Der Header MUSS bei der Verifizierung auf dem entfernten Computer 1:1 dem Zustand vor der Signatur entsprechen.
    Im Falle des Nachrichtentextes werden vor der Signatur etwaige „empty lines“ am Ende der Nachricht entfernt.
  • „relaxed“ kommt seiner Bezeichnung sehr nahe. Bevor die Signatur stattfindet, werden zum Beispiel alle Felder im Header durch Kleinbuchstaben ersetzt und doppelte Leerzeichen ignoriert. Inhaltlich werden keine Änderungen vorgenommen!
    Ähnlich verhält es sich beim Nachrichtentext. Einige kleinere Änderungen wir doppelte Leerzeichen werden ignoriert, der Inhalt bleibt auch hier unangetastet!

Möchte ich Header und Nachrichtentext „relaxed“ normalisieren, bevor ich sie signiere, reicht ein einziger Parameter „c=relaxed“ aus. Entscheide ich mich für die „relaxed“ Normalisierung des Headers und die „simple“ Normalisierung des Nachrichtentextes, definiert dies der Parameter „c=relaxed/simple“.

Die Nachricht wird niemals verändert, der Text oder Header durchläuft lediglich intern den ausgewählten Algorithmus. Die Ausgabe wird anschließend signiert.
Auf dem Weg einer Mail durch die Server ist es sehr gut möglich, dass doppelte Leerzeichen oder „line-endings“ etc. in der Nachricht verändert werden. Häufig wird daher zur „relaxed“ Normalisierung gegriffen, um sich den Aufwand des Debuggings zu ersparen, der eher in keinem Verhältnis steht.

OpenDKIM wird beim Empfang einer Nachricht mit Signatur, die vom Sender vorgegebene Normalisierung durchführen und das Ergebnis gegenprüfen.
Das Resultat wird ebenfalls als Header-Feld angefügt: „Authentication-Results“.

Das Feld „Authentication-Results“ könnte in OpenDKIM durch „RemoveARAll yes“ unterdrückt werden. Spamassassin führt eine eigene Bewertung durch und braucht dieses Header-Feld hierfür nicht.

Am Beispiel einer Mail, die von einer GMail-Adresse empfangen wurde:

Authentication-Results: mail.domain.tld; dkim=pass
	header.d=gmail.com header.i=@gmail.com header.b=sgoLK7PA;
	dkim-adsp=pass; dkim-atps=neutral

Wie in obiger Notiz erwähnt, wird Spamassassin in das Feld „X-Spam-Status“ reporten, unabhängig vom Ergebnis des OpenDKIM Milters:

X-Spam-Status: No, score=-0.1 required=5.0 tests=DKIM_SIGNED,DKIM_VALID,
	DKIM_VALID_AU,FREEMAIL_FROM,HTML_MESSAGE,URIBL_BLOCKED autolearn=ham
	version=3.3.2

Weitere Informationen findet ihr hier.

Wie wird die Signatur überprüft?
Vorab eine Grafik zum besseren Verständnis.
DKIM Prozess
Die Kurzform: Eine Signatur wird mit Hilfe eines von uns erzeugten Keys erstellt. Der Key wird in dem für unsere Domäne zuständigen Nameserver als TXT-Record hinterlegt. Mein Gegenüber kann beim Empfang meiner Mail, den Key vom Nameserver abholen und die Signatur nachvollziehen. Entspricht der Hash dem aus unserer Nachricht, kann davon ausgegangen werden, dass keine Manipulation der Nachricht stattfand.

Und wie schützt mich das vor Spam?
Tjoa, ernüchternde Antwort: Eigentlich gar nicht.
Allerdings kann ich bei einer korrekt (!) signierten Mail fast immer davon ausgehen, dass es sich nicht um Spam handelt. Spammer benutzen häufig offene Relays und versenden unter Angabe falscher Domänennamen. Solche Versuche sollten vom eigenen Mailserver schon während des Verbindungsaufbaus abgelehnt werden.
Ausnahmefälle sind gekaperte Freemail Accounts, etwa von GMail, die blöderweise natürlich signiert werden. So ein Account wird allerdings sehr schnell gesperrt und schon der Nachrichtentext einer solchen Mail, fällt dem lokalen Spamfilter zum Opfer.
Kurzum dient DKIM der Validierung der Echtheit und Integrität einer Nachricht, um Manipulation auf dem Weg auszuschließen.

Installation und Konfiguration von OpenDKIM

Nachdem „alle so in etwa“ wissen, was in den nächsten Schritten passiert, startet die Installation von OpenDKIM inkl. nützlicher Werkzeuge via „apt-get“:

apt-get install opendkim opendkim-tools

Dank der Werkzeuge lässt sich schnell ein Key für die Signatur erstellen. Diesen Key lege ich in „/etc/dkim“ ab.
Weiterhin wird die Verwendung des Keys auf die Signatur von Mail beschränkt („-r“), der Selektor festgelegt („-s default“) und der öffentliche Domänenname definiert („-d domain.tld“):

mkdir /etc/dkim/ ; cd /etc/dkim
opendkim-genkey -r -s default -d domain.tld

Abgesehen vom Key „default.private“, befindet sich im Verzeichnis nun auch eine Datei „default.txt“, dazu später mehr…
Ein Blick in die Konfiguration:

nano /etc/opendkim.conf

Diese gestaltet sich relativ simpel. Nur wenige Werte müssen explizit angepasst werden.
Ich habe das Logging eingeschaltet, allerdings nicht zu ausführlich.
„Domain“ und „Selector“ bitte entsprechend anpassen, ebenso „Canonicalization“, falls gewünscht.

Syslog              yes
LogResults          yes
LogWhy              yes
SyslogSuccess       yes
UMask               002
Domain              domain.tld
KeyFile             /etc/dkim/default.private
Selector            default
Canonicalization    relaxed/relaxed

Nun noch den gewünschten Socket in der Datei „/etc/default/opendkim“ auskommentieren. Der Port darf auch verändert werden:

SOCKET="inet:12345@localhost" # listen on loopback on port 12345

Anschließend die Datei „/etc/postfix/main.cf“ erweitern:

milter_protocol = 6 # Da Postfix >= v2.6
milter_default_action = accept # Auch Mail annehmen, wenn Filter defekt
non_smtpd_milters=inet:127.0.0.1:12345
smtpd_milters=inet:127.0.0.1:12345

Der Port muss dem Wert aus der Datei „/etc/default/opendkim“ entsprechen.
Im Anschluss die zwei Dienste in dieser Reihenfolge neustarten:

service opendkim restart
service postfix restart

Nameserver Konfiguration

Zum Abschluss komme ich auf die Datei „/etc/dkim/default.txt“ zurück.
Der Inhalt dieser Datei sieht etwa so aus:

default._domainkey IN TXT "v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDUDuo7AbW7AigTWt4Mh9pK8BlZxyPhCZnZzuq2t+uxXxkEhT+RFCfllpBe2cnlz/mQA6Ksm30B7vLxXZm81YZ5s0na2BInYc1y7y0gYlY5vyjDj8QUP2J5L/yKDv0jySIju46QsCylXoMAJBIGnvofvYqRmZ9nnjgvhZTx/YlJJQIDAQAB" ; ----- DKIM key default for domain.tld

Den Anhang “ ; —– DKIM key default for domain.tld“ könnt ihr euch sparen, der Rest muss von euch oder eurem ISP in den zuständigen Nameserver eingetragen werden.
Etwa so:

Typ: TXT
Name: default._domainkey
TTL: 14400
Data: „v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDUDuo7AbW7AigTWt4Mh9pK8BlZxyPhCZnZzuq2t+uxXxkEhT+RFCfllpBe2cnlz/mQA6Ksm30B7vLxXZm81YZ5s0na2BInYc1y7y0gYlY5vyjDj8QUP2J5L/yKDv0jySIju46QsCylXoMAJBIGnvofvYqRmZ9nnjgvhZTx/YlJJQIDAQAB“

25 Antworten auf “DKIM: Verständnis, Konfiguration und Installation von OpenDKIM

  1. Matze

    Seit heute bin ich auch cownnected ;)
    Da mein vserver-anbieter nur eine limitierte anzahl an dns einträgen zulässt habe ich mich powerdns & poweradmin aufgesetzt und zusätzlich eben mailcow (mailinabox war nicht zufriedenstellend). Über das webpanel habe ich den dkim
    key erzeugt. Irgendwie schaffe ich es nicht diesen als txt im dns einzutragen (auch nicht mit „“ als multi line). Über dns muss ich wohl noch einiges lernen und hoffentlich schaff ich es danach noch seafile aufzusetzen ohne die gesamte config wieder zu zerschießen. Irgendwelche tipps wie ich den dkim eintrag in poweradmin bekomme?

  2. Marcel

    Hallo,

    danke für den Artikel, aber noch sind einige Fragen offen:

    Ich habe auf einer IP zwei URLs, eine .de und eine .com. Nennen wir diese beiden einmal myDomain.de (besitzt ein positiv wildcard SSL Zertifikat) und my2ndDomain.com.

    Wie kann ich nun für beide einen separaten Key erstellen, ohne dass dies im default.private landet, sondern für jede der Domains einen Key generiert? Wie müsste dann die Konfiguration aller Datein bestmöglichst aussehen?

    Mailserver sind Postfix/Courier.

    Gruß
    Marcel

  3. Jan

    Hallo André,

    vielen Dank für deinen Artikel! Ich habe allerdings ein Problem. Sobald ich die postfix/main.cf anpasse und postfix neustarte, kann kein Client mehr eine Verbindung via STARTTLS aufbauen.

    Wäre sehr nett wenn du mir da unter die Arme greifen würdest.

    Gruß
    Jan

  4. Frank

    Ich habe mailcow eingerichtet und mich an diese Anleitung gehalten,
    wenn ich eine E-Mail versende sehe ich folgendes bei DKIM:

    Jun 16 14:38:24 server1 opendkim[5098]: Starting OpenDKIM: opendkim.
    Jun 16 14:38:24 server1 opendkim[5103]: OpenDKIM Filter v2.9.2 starting (args: -x /etc/opendkim.conf -u opendkim -P /var/run/opendkim/opendkim.pid -p inet:10040@localhost)
    Jun 16 14:38:36 server1 opendkim[5103]: 8DB17E02B4: DKIM-Signature field added (s=default, d=xyz.de)
    Jun 16 14:38:38 server1 opendkim[5103]: A4DE9E02C1: DKIM-Signature field added (s=default, d=xyz.de)
    Jun 16 14:40:11 server1 opendkim[5103]: 5F724E02B4: DKIM-Signature field added (s=default, d=xyz.de)
    Jun 16 14:40:13 server1 opendkim[5103]: 80B34E02C2: DKIM-Signature field added (s=default, d=xyz.de)

    Aber meine Nachrichten enthalten keine Signatur von DKIM. Was könnte da schief gegangen sein?

    LG

    1. André P. Autor

      Hi,
      hast bestimmt noch den Haken bei „Anonymize outgoing mail“. :-)
      Viele Grüße „und danke, dass Sie mailcow verwenden“…
      André

      Ich sehe aber gerade … Hast du eine ältere fufix Version im Einsatz? Dort fehlte der DKIM-Kram noch. Ansonsten hättest du nichts einrichten brauchen, das geht via Webpanel. :-)

      1. Frank

        Hi,
        ich habe die 0.10.1 stable eingerichtet. Das ich DKIM auch per Webinterface einrichten kann war mir irgendwie total entgangen.
        Hab alles auf ein sauberes Backup zurückgesetzt und DKIM per Control Center aktiviert – funktioniert wunderbar. Witzigerweise nach einigem hin und her sogar mit aktiviertem „Anonymize outgoing mail“, sämtliche Validatoren und Gmail melden DKIM=pass, die Informationen meines Clients sind durch den Regex entfernt.

        Vielen Dank für dieses tolle Script! :)

  5. Ludwig

    Hallo!
    Ich habe meinen Server durch den fufix installer erfolgreich aufgesetzt.
    Nun möchte ich DKIM nutzen und komme nicht ganz weiter.

    1. In der Anleitung steht das die /etc/opendkim.conf wie darunter angepasst werden soll. Bei mir gibt es jedoch kein „Domain” und “Selector” und „UMask“.
    Ich habe Sie einfach mit meinen Werten hinzugefügt.

    2. „gewünschten Socket in der Datei “/etc/default/opendkim” auskommentieren. “
    Hier würde ich den einzigen Bestehenden Eintrag auskommentieren, ist das richtig? (# davor) Bei mir ist es port 10040. Den habe ich gelassen und in der “/etc/postfix/main.cf” reingeschrieben. hier weiß ich auch nicht ob das so richtig ist.

    Ich habe den DNS Eintrag wiefolgt gesetzt:
    Subdomain: default._domainkey
    Type: TXT
    Ziel: v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQ […]

    Dienste wurden neugestartet, jedoch funktioniert es nicht.
    Was mache ich falsch? (genkey wurd am Anfang gemacht und ausgelesen)

    Viele Grüße

  6. Clemens

    Hi,

    Eine Frage hab ich da noch. Ich hab viele verschiedene Domains und auch für die verschiedene Postfächer auf einem Server. Ich hab mich jetzt festgelegt, dass der Mail-Server (mx) mail.cylancer.net lautet. Muss ich jetzt in alle DNS-Einträge der verschiedenen Domains den Public-Key von mail.cylancer.net eintragen? Oder gar für jede Domain einen eigenen Key generieren? Wie wird das dann auseinander gehalten?

    Danke für die Hilfe
    Clemens

    1. André P. Autor

      Hi Clemens,
      du kannst zwar über all den gleichen Key verwenden.
      Um einen Eintrag auf jeder Domäne, kommst du aber nicht drum rum.
      OpenDKIM erkennt anhand des Headers die Absenderdomäne.
      Hier mal eine Beispiel-Konfiguration für dich, der Selector lautet „default“:

      /etc/opendkim.conf

      Syslog              yes
      KeyTable            /etc/opendkim/KeyTable
      # refile bedeutet "RegEx file", hier kannst du ein "*" verwenden, um jeder Domäne den gleichen Key mitzugeben ("wildcard")
      SigningTable        refile:/etc/opendkim/SigningTable
      Canonicalization    relaxed/relaxed
      
      LogResults      yes
      LogWhy          yes
      SyslogSuccess   yes

      /etc/opendkim/KeyTable

      domain1.tld     domain1.tld:default:/etc/opendkim/keyfiles/default_domain1.key
      domain2.tld     domain2.tld:default:/etc/opendkim/keyfiles/default_domain2.key

      /etc/opendkim/SigningTable

      *@domain1.tld     domain1.tld
      *@domain2.tld     domain2.tld

      Anschließend kannst du die Keys erstellen:

      mkdir /etc/opendkim/keyfiles
      opendkim-genkey -r -s default -d domain1.tld
      opendkim-genkey -r -s default -d domain2.tld

      „opendkim-genkey“ erstellt immer eine Datei „default.private“ mit dem Key und „default.txt“ mit dem DNS-Record. Du musst diese dann entsprechend nach /etc/opendkim/keyfiles/ kopieren und den Namen anpassen (default_domain1.key oder default_domain2.key).

      Ich hoffe, ich konnte helfen. :-)

      Viele Grüße
      André

      Edit: Ups, war noch eine falsche Domäne drin.

      1. Jonas Schmidt

        Ich habe Postfix zum größten Teil nach Deiner Anleitung „Mailserver: Postfix und Dovecot mit MySQL-Anbindung auf Debian Wheezy“ konfiguriert. Jetzt möchte ich bei OpenDKIM für alle virtuellen Domains den selben Key verwenden. Also habe ich der einfachheit halber in die Signingtable

        * default
        eingetragen. Finde ich ganz praktisch, denn dann brauche ich mir bei neuen Domains um OpenDKIM keine Gedanken zu machen, sondern muss nur den Eintrag im DNS vornehmen.

        Das Problem ist nun, dass alle eingehenden Mails signiert werden – also auch die von externen Domains. Die Lösung wäre m.E., dass auf Port 25 nicht signiert wird und die eigenen Benutzer gezwungen werden auf Port 587 oder 465 einzuliefern. (25 dürfte also kein Login erlauben).

        Das habe ich aber nicht konfiguriert bekommen. Kannst Du mir hier weiterhelfen?

        Oder bin ich völlig auf dem Holzweg…

        Gruß
        Jonas

        1. André P. Autor

          Ich habe vorhin gemerkt, dass ich von „einem Key für alle Sites“ schrieb, dann aber ein Beispiel mit „einem Key pro Site“ gezeigt habe, sorry. :-) Da fehlte der Hinweis, dass ein Key pro Site empfohlen wird. Ob man das unbedingt einhalten muss, lasse ich mal dahingestellt…
          Deine Lösung ist ebenso möglich.

          In deinem Fall musst du Postfix so einrichten:
          master.cf

          smtp inet [...] smtpd
            -o smtpd_sasl_auth_enable=no
          submission inet [...] smtpd
            -o smtpd_milters=inet:127.0.0.1:12345
            -o [...]
          

          In der Datei „main.cf“ entfernst du dann die Einträge „non_smtpd_milters“ und „smtpd_milters“.

          Wenn du Amavis als „smtpd_proxy_filter“ einsetzt, müsstest du „smtpd_milters“ direkt im smtpd für Amavis (master.cf) einrichten, da der Milter dann erst im Proxy greift. Spielt aber keine Rolle, wenn du den Mailserver nach meinem Artikel eingerichtet hast. :-)

          Viele Grüße
          André

          1. Jonas Schmidt

            Herzlichen Dank! Das hat sehr weitergeholfen!

            Beim Einrichten ist mir folgendes aufgefallen:

            Das erste smtpd muss smtp heißen, oder? In meiner master.cf gab es zumindest keine Zeile, die mit smtpd beginnt…

            Ich musste den Eintrag, den ich bei submission ergänzt habe, ebenfalls bei smtps ergänzen, sonst wurden nur die Mails signiert, die über Port 587 eingeliefert wurden, nicht jedoch die über 465.

            Dann musste ich reject_authenticated_sender_login_mismatch in der main.cf entfernen, sonst kam eine Warnung in den Logs (ist doch richtig, oder?)

            Frage: Ich habe tatsächlich Amavis als smtp_proxy_filter konfiguriert – abweichend von Deiner Anleitung. Den letzten Absatz habe ich nicht verstanden: wenn ich es OpenDKIM hinter dem smtp_proxy_filter eintrage, werden doch wieder die eingehenden Mails signiert? Oder habe ich etwas übersehen?

            Jedenfalls läuft es jetzt mit der beschriebenen Konfiguration soweit ich es überblicke. Nochmals vielen Dank für Deine Hilfe!

            Gruß
            Jonas

            1. André P. Autor

              Sorry, klar, das muss „smtp“ heißen. Ich weiß auch nicht, was im Moment los ist… :-)

              Ich würde – wenn du „reject_authenticated_sender_login_mismatch“ aus der main.cf entfernt hast – den Reject wieder bei smtps und submission ergänzen, also etwa:

              smtps/submission inet [...] smtpd
                -o smtpd_milters=inet:127.0.0.1:12345
                -o smtpd_client_restrictions=$smtpd_client_restrictions,reject_authenticated_sender_login_mismatch
                -o [...]

              Damit nicht jeder eingeloggter Benutzer Mails unter dem Namen eines anderen Benutzers versenden kann.
              Du könntest die Warnung auch ignorieren, ist aber nicht so toll. :-)

              Wenn es jetzt so funktioniert und die Mails signiert werden, ist alles okay. :-) Ich habe den Proxy etwas anders eingebaut. Daher musste ich aufpassen. Zum Beispiel würde der Milter hier nicht verwendet werden:

              25     inet  n       -       -       -       1   smtpd
                -o smtpd_proxy_filter=127.0.0.1:10024
                -o smtpd_client_connection_count_limit=10
                -o smtpd_proxy_options=speed_adjust
                -o smtpd_milters=inet:127.0.0.1:12345
              

              Der Milter müsste dort eingebaut werden, wo Amavis nachher wieder einliefert. Bei mir auf Port 10026.

              Aber wie gesagt: Kein Sorge, ist alles gut. Kannst mir gerne auch mal eine leere Mail senden, wenn du willst und vielleicht Sorge hast, dass die Signatur nicht korrekt ist.

              Viele Grüße
              André

              1. Jonas Schmidt

                OK. Dann bin ich ja beruhigt. Ich habe mir die Testmails immer auf meinen Google-Account geschickt – Google fügt im Header eine Zeile hinzu, ob die DKIM-Signatur in Ordnung war.

                Das mit reject_authenticated_sender_login_mismatch ist noch ein gute Hinweis, aber so hat es nicht funktioniert:
                postfix/smtpd[16031]: fatal: invalid „-o reject_authenticated_sender_login_mismatch“ option value: missing ‚=‘ after attribute name

                Ist
                -o smtpd_client_restrictions=reject_authenticated_sender_login_mismatch
                richtig?

                Sorry, wenn ich immer nachfrage, aber ich habe Postfix immer nur noch HowTos installiert und nur grob eine Vorstellung von den internen Abläufen. Irgendwann muss ich mich mal tiefer mit Postfix befassen… :)

            2. André P. Autor

              Hi,
              sorry, habe es noch einmal editiert, probier es mal bitte so aus, damit die übrigens Restrictions aktiv bleiben:

                -o smtpd_client_restrictions=$smtpd_client_restrictions,reject_authenticated_sender_login_mismatch
              
              1. Jonas Schmidt

                Das geht leider nicht:

                [....] Reloading Postfix configuration.../usr/sbin/postconf: warning: unreasonable macro call nesting: "smtpd_client_restrictions"
                done.

                Hab es jetzt aber einfach an die bestehenden smtpd_client_restricitions drangehängt. :)

              1. Jonas Schmidt

                Ja, ich habe noch Wheezy. Mir ist nur noch aufgefallen, dass reject_authenticated_sender_login_mismatch vor das reject muss. Das betrifft vermutlich auch Deine Lösung…

                postfix/smtpd[18552]: warning: restriction `reject_authenticated_sender_login_mismatch‘ after `reject‘ is ignored

            3. auto insurance

              These are just short of it to the soft copy of your coverage to protect you in the event youthen click the „my account“ option so as to learn how to get multiple quotes for comparison. This is an ever increasing cost of all of the car could do landget your settlement in their entire career trying to get you into believing that are based on your International Courier service. A complete security for your car regularly serviced: carrying theerrors, they do so by using a search by typing in some way to decrease your auto insurance premium by up to take out a thorough research about these statistics. example,at. (I am registered with a content writer, here are some of the day or night the car insurance companies and talk about me right now. However, there are insurances youexpenses, you can before making a decision since they are affiliated with different carriers or otherwise unlawful technique used to surround the online quotes because you can’t gather as many aswill find coverage on rental properties, boat insurance… for you and your insurance is one of our retailers don’t like the stock market crash. So it becomes very confusing facet autothe firms will accept all safety measures, or anti-lock brakes. It is important for the highest level of home insurance, property insurance that is set to grow and spread the oflong-term planning. Make sure your wallet from an online search engines that specialize in helping you avoid insurance fraud. Here’s a broad policy.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.