Episodio IV: Exim4 + DKIM y multidominio

Nota: Este post pertenece a una saga de configuración de correo, para entenderlo debes ir primero a la página de índice en saga de servidores de correo.

Ahora toca configurarar Exim4 con DKIM, es necesario si queremos usar IPV6 con Google ya que exige su uso para entregarle el correo. Para simplificar la configuración el objetivo es utilizar la misma clave para todos los dominios.

Mi configuración está basada en http://www.iodigitalsec.com/exim-dkim-and-debian-configuration/ pero con algunas modificaciones.

Paso 1: Crear una clave al menos de 1024 bits para no tener problemas con Google

cd /etc/exim4
openssl genrsa -out exim-dkim.key 1024
openssl rsa -in exim-dkim.key -out exim-dkim.pub -pubout -outform PEM

el fichero exim-dkim.pub contiene la clave publica para configurar las entradas DNS, en mi caso contiene lo siguiente:

-----BEGIN PUBLIC KEY-----
MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDYCiczqjaT/IH+c9W0vc2pk12z
TaU7V3trRdDv52N3a9bHaPAQCunUHC9RudJurh1vdhWk5lBzqrvCcsZhrC9DodU3
JJcFLjWc8tU760+uoQv7d80IxrlvD25poPD7DMjjGWkIDVaCsw/sDOWoUcgjUv/W
XQzdCCzmGfHm05SltQIDAQAB
-----END PUBLIC KEY-----

Paso 2: Configuración de Exim4

Esta configuración hace que se firmen los correos salientes con la clave privada, en mi caso tengo la configuración partida en ficheros y añado a mi fichero personal /etc/exim4/conf.d/main/00_exim4-config_mypanel con esta configuración:

DKIM_CANON = relaxed
DKIM_SELECTOR = mail
DKIM_PRIVATE_KEY = /etc/exim4/exim-dkim.key
DKIM_DOMAIN = ${sender_address_domain}

¿Que es el selector? Es la entrada de texto DNS que debemos añadir en cada dominio como:

mail._domainkey.midominio.com

La idea es usar el mismo selector en todos los dominios añadiendo la misma clave pública

Paso 3: Entradas DNS

Esto parece fácil, pero me está dando problemas en algunos proveedores de servicios con el panel de control.

La clave pública debe estar en una sola línea, pero cuidado al copiar y pegar, en los formularios de los ISPs pueden aparecer espacios extra o caracteres extraños. Lo que es peor por ejemplo, en Arsys, se duplican las entradas DNS, se descuadra la configuración DNS y el panel de control, teniendo que acudir al servicio técnico para solucionarlo.

v=DKIM1\; k=rsa\; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDYCiczqjaT/IH+c9W0vc2pk12zTaU7V3trRdDv52N3a9bHaPAQCunUHC9RudJurh1vdhWk5lBzqrvCcsZhrC9DodU3
JJcFLjWc8tU760+uoQv7d80IxrlvD25poPD7DMjjGWkIDVaCsw/sDOWoUcgjUv/WXQzdCCzmGfHm05SltQIDAQAB

Es recomendable probar que la entrada es correcta se pueden utilizar algunas de las herramientas web como http://dkimcore.org/tools/keycheck.html

Paso 4: Preguntarle a St. Google si todo está ha ido bien

Enviando un correo a gmail debemos encontrar en las cabeceras del mensaje lo siguiente:

Authentication-Results: mx.google.com;
       spf=pass (google.com: domain of paulino@art-website.com designates 2001:41d0:52:cff::4d as permitted sender) smtp.mail=paulino@art-website.com;
       dkim=pass header.i=@art-website.com
DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/relaxed; d=art-website.com; s=mail;
	h=Content-Transfer-Encoding:Content-Type:Subject:To:MIME-Version:From:Date:Message-ID; bh=x3TRtv5F/uCNQ5PMvzjKq7zJMwgVtkESo2xthvWVIis=;
	b=AEw2RhlOpP4/SoKWHEN3+epO5xcYzERnSQmBnqaw7XzZlXmi1qq5NxuuMd71gnWJKzjq+6+hRUnzdlgHDlW55VorqSQyv4zbs/9Ke/rQQp01VWXAa7fYay2vvvt7CODopN7YF4ypo59h71FeEu4BC1Zwmc07Ta5oGvwAh/hd9XY=;

Tendrás que encontrar el botón de Gmail con el que se pueden ver los correos en bruto, está por algún sitio …

paulino

paulino escribió 18 entradas

Navegación de la entrada


Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos necesarios están marcados *

Puede usar las siguientes etiquetas y atributos HTML:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>