Mediante DKIM podemos firmar los correos que mandamos mediante un determinado dominio. Se usa el header DKIM-Signature. Vamos a ver como funciona y como configurar qmail para que firme los correos salientes:

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
        d=gmail.com; s=gamma;
        h=date:from:to:subject:message-id:in-reply-to:references:x-mailer
         :mime-version:content-type:content-transfer-encoding;
        bh=h94cOorFnF7zrqXewhm6jiXkvCwtLdWYcECXDq7i+w0=;
        b=vpq1zBvkGwfaVOCsHRCGrb9UulHTxD/G38gF0CZ3I/YRvOUqpk/kS1W1fc1xdT/T72
         xo+cf1feYMPVKw0xeRU83OGHDIMzA2zYc7pqRB8yO/dVA7PsCg+r2QmI1hwVne4dqNQk
         d60abjGiZJG48ZzVHQUehODLMqJkoZI4VFqKo=

El que reciba el mail puede obtener la clave pública a partir del selector (valor s) en este caso gamma combinado con el dominio firmante (valor d). En el caso anterior sería:

# dig gamma._domainkey.gmail.com txt +short
"k=rsa\; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDIhyR3oItOy22ZOaBrIVe9m/iME3RqOJeasANSpg2YTHTYV+Xtp4xwf5gTjCmHQEMOs0qYu0FYiNQPQogJ2t0Mfx9zNu06rfRBDjiIU9tpx2T+NGlWZ8qhbiLo5By8apJavLyqTLavyPSrvsx0B3YzC63T4Age2CDqZYA+OwSMWQIDAQAB"

A continuación se usan los headers que se indican con el valor h, se tratan según el algoritmo especificado en el valor c y se firma con un hash de los datos tratados.

Para el caso de relaxed podemos consultar la sección 3.4.2 del RFC4871 donde se indica que cómo se deberán tratar los headers para asegurarnos que se podrá verificar el firmado aunque MTAs intermedias modifiquen los headers.

Para empezar a firmar los mails salientes con qmail, primero deberemos instalar el modulo de perl Mail::DKIM

cpan> install Mail::DKIM

A continuación deberemos conservar el script que viene con el paquete llamado dkimsign.pl:

cp /root/.cpan/build/Mail-DKIM-0.39/scripts/dkimsign.pl /usr/local/bin/

Deberemos modificarlo para que acepte como parámetro nuestra clave privada:

cat <<EOF > /usr/local/src/dkimsign.patch
--- dkimsign.pl.old     2012-01-30 22:06:50.959015108 +0100
+++ dkimsign.pl 2012-01-30 22:08:19.839015533 +0100
@@ -26,8 +26,10 @@
 my $debug_canonicalization;
 my $binary;
 my $help;
+my $key="rsa.private";
 GetOptions(
                "type=s" => \$type,
+               "key=s" => \$key,
                "algorithm=s" => \$algorithm,
                "method=s" => \$method,
                "selector=s" => \$selector,
@@ -61,7 +63,7 @@
                Algorithm => $algorithm,
                Method => $method,
                Selector => $selector,
-               KeyFile => "private.key",
+               KeyFile => $key,
                Debug_Canonicalization => $debugfh,
                );
EOF
patch /usr/local/bin/dkimsign.pl /usr/local/src/dkimsign.patch

Copiamos el qmail-remote original, ya que lo substituiremos por un script que firme los correos:

cp /var/qmail/bin/qmail-remote /var/qmail/bin/qmail-remote.orig

Podemos encontrar un script como el siguiente que permite tener varias claves privadas para firmar según el dominio del from:

#!/bin/bash

host="$1"
sender="$2"

[ -z "$sender" ] && [ "$DEFAULTDOMAIN" ] && sender="@$DEFAULTDOMAIN"
[ -z "$sender" ] && sender=@`hostname -f`
DOMAIN="${sender##*@}"
[ "$DKREMOTE" ] || DKREMOTE="/var/qmail/bin/qmail-remote.orig"
[ "$DKSIGN" ]   || DKSIGN="/etc/domainkeys/%/default"
if [ "$DOMAIN" ] ; then
       while [ ! -r "${DKSIGN//\%/$DOMAIN}" ] ; do
               # try parent domains, per RFC 4871, section 3.8
               DOMAIN=${DOMAIN#*.}
               DPARTS=( ${DOMAIN//./ } )
               [ ${#DPARTS[*]} -eq 1 ] && DOMAIN="${sender##*@}" && break
       done
fi
DKSIGN="${DKSIGN//\%/$DOMAIN}"
if [ -r "$DKSIGN" ] ; then
       tmp=`/bin/mktemp /tmp/dk.sign.XXXXXXXXXXXXXXXXXXX`
       tmp2=`/bin/mktemp /tmp/dk2.sign.XXXXXXXXXXXXXXXXXXX`
       /bin/cat - >"$tmp"

       # compute the DomainKey signature
       error=`(/usr/local/bin/dkimsign.pl --type=domainkeys --selector=default \
                               --key="$DKSIGN" --method=simple <"$tmp" | \
                       /usr/bin/tr -d '\r' >> "$tmp2") 2>&1`
       [ "$error" ] && echo "DomainKey error: $error" >&2 && exit -2

       # compute the DKIM signature
       error=`(/usr/local/bin/dkimsign.pl --type=dkim --selector=default \
                               --key="$DKSIGN" --method=relaxed <"$tmp" | \
                       /usr/bin/tr -d '\r' >> "$tmp2") 2>&1`
       [ "$error" ] && echo "DKIM error: $error" >&2 && exit -2

       # feed the signatures and the original message to the real qmail-remote
       /bin/cat "$tmp2" "$tmp" | "$DKREMOTE" "$@"
       retval=$?
       /bin/rm "$tmp" "$tmp2"
       exit $retval
else
       echo "No DK signature added" >&2
       exec "$DKREMOTE" "$@"
fi

Pero para el caso de muchos dominios puede ser muy pesado tener que crear tantas claves por lo que podemos firmar usando un único dominio. Podemos simplificar el script para que use únicamente la clave privada que tenemos en /etc/domainkeys/default. Por otro lado, los ficheros temporales los podemos guardar en memoria mediante tmpfs:

tmpfs on /dev/shm type tmpfs (rw)

El script anterior, del que deberemos personalizar el dominio con el que queremos firmar, una vez simplificado quedaría:

#!/bin/bash

DKSIGN="/etc/domainkeys/default"
DKREMOTE="/var/qmail/bin/qmail-remote.orig"
DKDOMAIN="systemadmin.es"

tmp=`/bin/mktemp /dev/shm/dk.sign.XXXXXXXXXXXXXXXXXXX`
tmp2=`/bin/mktemp /dev/shm/dk2.sign.XXXXXXXXXXXXXXXXXXX`

/bin/cat - >"$tmp"

/usr/local/bin/dkimsign.pl --type=dkim --selector=default \
        --key="$DKSIGN" --method=relaxed --domain=$DKDOMAIN <"$tmp" | \
        /usr/bin/tr -d '\r' >> "$tmp2" 2>&1

/bin/cat "$tmp2" "$tmp" | "$DKREMOTE" "$@"
retval=$?

/bin/rm "$tmp" "$tmp2"

exit $retval

Lo podemos llamar qmail-remote.DKIM A continuación deberemos crear una clave privada:

mkdir -p /etc/domainkeys/systemadmin.es
cd /etc/domainkeys/systemadmin.es
openssl genrsa -out rsa.private 768
cp rsa.private default

Y generamos la clave pública:

openssl rsa -in rsa.private -out rsa.public -pubout -outform PEM
rm rsa.private

Lo que nos quedará:

$ ll
total 8
-rw-r--r-- 1 root root 688 Mar 17 19:05 default
-rw-r--r-- 1 root root 223 Mar 17 19:05 rsa.public

A continuación podemos obtener lo que deberemos añadir al registro TXT:

$ grep -v ^- rsa.public | perl -e 'while(<>){chop;$l.=$_;}print "k=rsa; t=y; p=$l;\n";'
k=rsa; t=y; p=MHwwAAAAKoZIhvcNAQEBBAADAwAwAAJhAJ6243dIC0CzzBI9nNY/12347selbvh0GI3phmOcEYAA4M+/nlM+lMXHHIo8rlKtgYA2E412345g40ms2zWeCWMtAAmgHL1QCgvQJ5STzF5wOVz6mtFb6AAKBb9AAvl3wIDAQAB;

Mediante el valor t indicamos si estamos en pruebas, cuando estemos seguros que funciona correctamente lo podemos quitar:

_domainkey.systemadnin.es.         IN  TXT "o=-;"
default._domainkey.systemadmin.es. IN  TXT "k=rsa; t=y; p=MHwwDQYJKoZIhvcNAQEBBQADawAwaAJhAOCKwsbO8avw2253VH6ACFqGfilvDfVboz4LX1TLM3oVV8sT51W7k8j8H2Mg3w3SgpKlYcAyJ8LO7cifRpYPUIJjhmeQtIXtGFm0aK7lvxC+sDzvJdWssbXAb3t6hveJ3QIDAQAB;"

Podemos habilitar el firmado creando un link simbólico del qmail-remote.DKIM al qmail-remote y reinicar qmail-send:

ln -sf /var/qmail/bin/qmail-remote.DKIM /var/qmail/bin/qmail-remote
svc -t /service/qmail-send

Si mandamos un mail de prueba:

# telnet localhost 25
Trying 127.0.0.1...
Connected to localhost.localdomain (127.0.0.1).
Escape character is '^]'.
220 RTFM ESMTP
helo test
mail from: [email protected]
250 ok
rcpt to: [email protected]
250 ok
data
354 go ahead
From: Jordi Prats <[email protected]>
Subject: test dkim

aaa
.
250 ok 1328476380 qp 16660

Podemos ver la firma en los headers del mail:

DKIM-Signature: v=1; a=rsa-sha1; c=relaxed; d=systemadmin.es; h=date
    :message-id:from:to:subject; s=default; bh=0PMpbQVFwgW9281z6qXAO
    N7t78U=; b=AGSC7IO9Uro/MKQcoEU4ZFsU4C8RY0O3Wox+wywnr2JblZc40NfCc
    Zgqj+sdTATtcJSvH9lVcLSxbD88qpYbQ1ausjszyzswpVudDi6muJefLP2v9A2qB
    Cc7K1F+ngvp

Si lo comprobamos con un SpamAssassin veremos los siguientes hits de reglas:

X-Spam-Status: No, score=-0.1 required=4.0 tests=DKIM_SIGNED,DKIM_VALID,
    DKIM_VALID_AU,SPF_HELO_PASS,SPF_PASS autolearn=unavailable version=3.3.1

En el caso de gmail, si mandamos un mail firmado con DKIM nos añadirá via y el dominio firmante al lado del from, por ejemplo:

DKIM visto por gmail

DKIM visto por gmail

Tags: <a href="http://systemadmin.es/tag/qmail" title="qmail" rel="tag">qmail</a><br>

<h4>Relacionados</h4>
<ul>
<li><a href="http://systemadmin.es/2009/03/usando-qmail-para-entregar-correo-a-nuestro-relay" title="Usando qmail para entregar correo a nuestro relay (31/March/2009)">Usando qmail para entregar correo a nuestro relay</a></li>
<li><a href="http://systemadmin.es/2009/02/ucspi-tls-sslserver-general-protection-rip32bca95737-rsp7fff288e6988-error0" title="UCSPI-TLS sslserver: general protection rip:32bca95737 rsp:7fff288e6988 error:0 (20/February/2009)">UCSPI-TLS sslserver: general protection rip:32bca95737 rsp:7fff288e6988 error:0</a></li>
<li><a href="http://systemadmin.es/2009/02/spamcheck-para-newsletters-con-qmail-y-spamassassin" title="Spamcheck para newsletters con qmail y spamassassin (27/February/2009)">Spamcheck para newsletters con qmail y spamassassin</a></li>
<li><a href="http://systemadmin.es/2009/07/qmqtool-herramienta-para-ver-y-modificar-la-cola-de-qmail" title="qmqtool: Herramienta para ver y modificar la cola de qmail (14/July/2009)">qmqtool: Herramienta para ver y modificar la cola de qmail</a></li>
<li><a href="http://systemadmin.es/2009/01/qmailanalog-usrbinld-errno-tls-definition-in-lib64libcso6-section-tbss-mismatches-non-tls-reference-in-strerrastrerr_syso" title="qmailanalog: /usr/bin/ld: errno: TLS definition in /lib64/libc.so.6 section .tbss mismatches non-TLS reference in strerr.a(strerr_sys.o) (20/January/2009)">qmailanalog: /usr/bin/ld: errno: TLS definition in /lib64/libc.so.6 section .tbss mismatches non-TLS reference in strerr.a(strerr_sys.o)</a></li>

Via http://systemadmin.es/2012/02/dkim-domainkeys-identified-mail-qmail

Related Posts with Thumbnails
 

Comments are closed.

Weboy