---

SPF DKIM DMARC 是三個用來驗証E-mail寄件者是否為假冒的方法
三個都需要在DNS設定加上TXT記錄

SPF最簡單就是記錄寄件伺服器的網域名稱有哪些，
例如我用 mail.disp.cc 寄出一封寄件者為 knuckles@disp.cc 的信時
收件伺服器若有支援 SPF，就會檢查 disp.cc 的DNS上是否有設定SPF允許 mail.disp.cc 寄信

DKIM比較嚴格要用金鑰來驗証，要在DNS上放上一組公鑰
然後寄件伺服器要設定 DKIM，在寄出的信用私鑰加上簽名
收件伺服器若有支援 DKIM，就會用DNS上的公鑰檢查簽名是否正確

DMARC就是設定讓收件伺服器知道SPF和DKIM不通過時要怎麼處理
可以略過不管、當垃圾信或退信，然後將處理的結果寄到某個信箱

先寄一封信到Gmail信箱，使用Gmail看原始郵件內容可以看到是否有通過 SPF 和 DKIM


以下設定使用 CentOS7，mail server使用 postfix
DNS設定使用 Linode DNS Manager



設定 SPF (Sender Policy Framework)

只要在DNS設定加個TXT記錄
可以使用mxtoolbox的產生器
https://mxtoolbox.com/SPFRecordGenerator.aspx
將會用來寄信的伺服器都填上去

例如

如果點「Finalize Record」，會將設定字串簡化
例如產生的設定字串為 v=spf1 a:mail.disp.cc ~all

將產生的字串寫入DNS的TXT
例如DNS是用Linode的話



設定 DKIM (DomainKeys Identified Mail)

需要先安裝 EPEL 套件庫
$ sudo yum install -y epel-release
安裝 DKIM
$ sudo yum install opendkim


建立用來放金鑰檔的資料夾
$ sudo mkdir /etc/opendkim/keys/disp.cc
disp.cc換成自己的網域名

產生金鑰檔
$ sudo opendkim-genkey --bits=2048 --selector=default --domain=disp.cc --directory=/etc/opendkim/keys/disp.cc -v
或是使用簡寫
$ sudo opendkim-genkey -b 2048 -s default -d disp.cc -D /etc/opendkim/keys/disp.cc -v

其中disp.cc要換成自己的網址
一個網址可指定多個key，selector代表要用哪一個，使用預設值default即可
-v 代表顯示結果

會在 /etc/opendkim/keys/disp.cc 產生兩個檔案
default.private 私鑰
default.txt     要用來寫入DNS的公鑰

更改金鑰檔的權限
$ sudo chown opendkim:opendkim -R /etc/opendkim/keys/*
$ sudo chmod 640 -R /etc/opendkim/keys/disp.cc/*

編輯 DKIM 的設定檔 /etc/opendkim.conf
$ sudo vim /etc/opendkim.conf


有使用 KeyTable 和 SigningTable 的話
編輯 DKIM 的設定檔 KeyTable
$ sudo vim /etc/opendkim/KeyTable
加上

編輯 DKIM 的設定檔 SigningTable
$ sudo vim /etc/opendkim/SigningTable
加上

編輯 DKIM 的設定檔 TrustedHosts
$ sudo vim /etc/opendkim/TrustedHosts
加上


重啟 opendkim
$ sudo systemctl restart opendkim

設定開機啟動 opendkim
$ sudo systemctl enable opendkim

確認 opendkim 執行狀態
$ sudo systemctl status opendkim

編輯 /etc/postfix/main.cf
$ sudo vim /etc/postfix/main.cf
最後面加上

重啟 postfix
$ sudo systemctl restart postfix

確認 postfix 執行狀態
$ sudo systemctl status postfix

將產生的金鑰寫入DNS的TXT
讀取 /etc/opendkim/keys/disp.cc/default.txt
內容會像這樣：
default._domainkey      IN      TXT     ( "v=DKIM1; k=rsa; t=s; s=email; "

"p=MII…ZKA"

"zhq…QAB" )  ; ----- DKIM key default for disp.cc
將被分開的字串合併後，要寫入的內容就是
Hostname輸入:「default._domainkey」
Value輸入：「v=DKIM1; k=rsa; t=s; s=email; p=MII…ZKAzhq…QAB」

例如DNS是用Linode的話


寄一封信測試，檢查 /var/log/maillog 看看有沒有加上 DKIM
opendkim[16478]: 902682592: DKIM-Signature field added (s=default, d=disp.cc)




若 maillog 顯示
postfix/smtpd[16736]: warning: connect to Milter service unix:/var/run/opendkim/opendkim.sock: Permission denied
解決方法參考: https://unix.stackexchange.com/quest...-unix-var-run-opendkim-opendki
將 /var/run/opendkim/opendkim.sock 改放到 /var/spool/postfix/ 裡

先手動新增資料夾
$ sudo mkdir -p /var/spool/postfix/var/run/opendkim
$ sudo chown opendkim:opendkim /var/spool/postfix/var/run/opendkim

$ vim /etc/opendkim.conf
將   Socket local:/var/run/opendkim/opendkim.sock
改成 Socket local:/var/spool/postfix/var/run/opendkim/opendkim.sock
$ vim /etc/postfix/main.cf
將   smtpd_milters = unix:/var/run/opendkim/opendkim.sock
改成 smtpd_milters = unix:var/run/opendkim/opendkim.sock
(var前面的/拿掉變成相對路徑)

重啟 opendkim 與 postfix
$ sudo systemctl restart opendkim
$ sudo systemctl restart postfix





設定 DMARC (Domain-based Message Authentication, Reporting & Conformance)

可以使用mxtoolbox的產生器
https://mxtoolbox.com/DMARCRecordGenerator.aspx

第一項設定「none」代表略過不處理，若還不確定SPF和DKIM有沒有設定好的話可以先設這個
設定「Quarantine」代表將沒通過SPF或DKIM的信設為垃圾信
設定「Reject」代表將信退回

第二和第三項設定處理的報告要寄到哪個信箱
因為每處理了幾封信就會寄一個報告出來，所以最好另外用個專門的信箱來收這個

將產生的設定字串填入DNS的TXT
Hostname填入「_DMARC」
Value填入「v=DMARC1; p=quarantine; rua=mailto:xxx@xxx; ruf=mailto:xxx@xxx; fo=1」
例如DNS是用Linode的話


設定成功的話，寄信到Gmail看原始郵件，就可以看到三項都是PASS了


收到的DMARC報告會是一個xml檔，可以上傳到這邊來看
https://mxtoolbox.com/DmarcReportAnalyzer.aspx




參考:
https://unixwise.xyz/wordpress/2019/06/建設-postfix-spf-dkim-dmarc/
https://idolsgate.com/blog/configure-spf-dkim-dmarc-tls-postfix-centos_7/
關於 email security 的大小事 — 設定篇 DKIM、DMARC
https://easydmarc.com/blog/how-to-configure-dkim-opendkim-with-postfix/
[Centos7 8] postfix+DKIM 設定

--
※ 作者: Knuckles 時間: 2021-12-15 03:34:02 (台灣)
※ 編輯: Knuckles 時間: 2023-11-15 14:00:05 (台灣)