Frage best practise Mailversand mit DKIM und CNAME Hostname

Binfort

Well-Known Member
Für ein Projekt kämpfe ich aktuell mit der Maskierung der From und der Envelope-From Adressen im sendmail. Der zu verwendende Hostname ist allerdings ein CNAME und sendmail weigert sich stringent die Absender im Header zu maskieren.

Der Kunde wünscht sich für den Mailversand seiner Webanwendung DKIM mit 2048 Bit Schlüsseln und 3-monatiger Rotation. Zudem soll im Header From und Envelope-From ein FQDN mit Bezug zu seiner Maildomain erscheinen. Damit er nicht alle drei Monate seine Zone aktualisieren muss, und weil ich nicht an die Zone komme, wurde ein CNAME auf eine meiner Zonen angelegt.

So habe ich die Kontrolle über DKIM, SPF und DMARC.
  • Jail Hostname entspricht FQDN des Kunden
  • Eintrag in /etc/hosts entspricht FQDN des Kunden
  • PTR im DNS entspricht FQDN des Kunden :eek:
  • sendmail Makros $M und $j entsprechen FQDN des Kunden
  • im sendmail Testmodus /tryflags "es" & "hs" FQDN des Kunden

Diesem Fundstück zu Folge löst sendmail den Hostnamen bis zum A-Record auf und verwendet ihn, egal wie viel maskiert wird. Ich würde als nächstes gerne einen alternativen MTA versuchen. Laut Aussage vom Kunden soll Postfix funktionieren, aber hier im Forum lese ich immer mehr von OpenSMTP.

Mein Ziel: Mailversand von lokal nach extern im Jail, From und Envelope-From idealerweise frei konfigurierbar oder über den Hostnamen - welcher im DNS ein CNAME sein kann und dennoch verwendet wird! Dazu DKIM.

Postfix oder OpenSMTP?
 
Zuletzt bearbeitet:

KobRheTilla

used register
Ich rate zu Postfix.

Das mit dem From-Header verstehe ich aber nicht, der wird doch vom SMTP-Client generiert, ist also grundsätzlich frei konfigurierbar. Oder meinst du Mails mittels sendmail-Aufruf? Da kannste mit -f<address> den Absender festlegen.

Rob
 

Binfort

Well-Known Member
War kurz davor auf OpenSMTP zu gehen :) Danke für den Tipp, wird dann wohl Postfix. Über Erfolge od. Misserfolge später mehr.

Btw: den Schalter -f und www als Trusted User hatte ich gar nicht probiert und es jetzt mal versucht. Selbst mit "-f user@FQDN_des_Kunden -F <leerer String>" wird die Domäne im From durch den Eintrag des A-Records ersetzt. Der www User ist Trusted User, keine X-Authentication-Warning im Header, eiskalt wird mein A-Record im From eingetragen. Irgendetwas übersehe ich...
 

Binfort

Well-Known Member
sendmail ist echt zickig. Ohne Leerzeichen: "-fuser@cname" wird immer "user@arecord" - aber "-fuser@kundendomain" bleibt im From und Envelope-From vollständig erhalten.

Der CNAME ist ja ein FQDN unter der Kundendomain, für DMARC sollte es genügen, wenn ich den die From Adresse im DKIM signiere und das sollte jetzt keine Schwierigkeiten machen.

Dank dir für den Denkanstoß :)
 

KobRheTilla

used register
Bin auch Postfix-User. Mich würde allerdings der Grund für diesen Rat interessieren.
Postfix kann sowohl schnell und einfach eingerichtet werden als auch ziemlich umfangreich und "feinkörnig" konfiguriert werden. Außerdem bietet es gute Plugin-Schnittstellen für verschiedene Phasen des Mailkreislaufs. Ein weiterer Bonus ist die herausragende Dokumentation.

Rob
 

Binfort

Well-Known Member
"The domain name used as the value of a NS resource record, or part of
the value of a MX resource record must not be an alias."
Nur der Hostname A RR ist CNAME, MX vom CNAME ist der MX vom hinterlegten Alias. Das sollte RFC konform sein.

DMARC ist doch ein eigener record. Reicht es nicht, nur den als CNAME zu setzen?
DMARC ist ja ein TXT RR, welcher nach RFC auch kein CNAME sein darf, oder? Edit2: Hab die RFC eben nur überfolgen, hole ich nachher nach..., Danke für den den Link!

Wenn das gehen würde, könnte ich das dem Kunden gegenüber entsprechend vertreten. Edit: Weil ich dann eben auch die DKIM Keys TXT RR als CNAME auf meine Keys legen lassen kann.
 

Binfort

Well-Known Member
Mit Postfix war das alles kein Problem. Installiert, gestartet, fertig. Kein extra Heck Meck, alles läuft wie es soll.
 
Oben