Installazione in spamassassin Qualche dato Firma dei mail Note Domain Keys Installazione in spamassassin Qualche dato Firma dei mail Note
Spamassassin 3.1.7 Caricare il plugin Moduli perl da installare: Nel file v310.pre bisogna scommentare Moduli perl da installare: Mail-DomainKeys Crypt-OpenSSL-RSA Crypt-OpenSSL-Random loadplugin Mail::SpamAssassin::Plugin::DomainKeys
DK Rules DK_POLICY_SIGNALL DK_POLICY_SIGNSOME DK_POLICY_TESTING Legate alle opzioni inserite nel DNS per il dominio del mittente DK_SIGNED DK_VERIFIED Legate all’header del mail
DK vs SPAM 2391 mail di spam 1044 mail buoni dalla Inbox 882 (36.9%) hanno info DK 2.2% DK_SIGNED 0% DK_VERIFIED 1044 mail buoni dalla Inbox 96 (9.2%) hanno info DK 86.5% sono DK_SIGNED 17.7% sono DK_VERIFIED
SPF vs SPAM 2391 mail di spam 1044 mail buoni dalla Inbox 485 (20.3%) hanno info SPF Di queste 79.8% sono SPF_NEUTRAL o SPF_SOFT_FAIL 2.9% sono SPF_PASS 15.3% sono SPF_FAIL 1044 mail buoni dalla Inbox 236 (22.6%) hanno info SPF Di queste 10.2% sono SPF_NEUTRAL o SPF_SOFTFAIL 87.3% sono SPF_PASS 0.4% (insomma una) SPF_FAIL Quindi SPF_FAIL probabile SPAM e SPF_PASS probabile HAM
Firma dei mail (1) Si installa il pacchetto dk-milter Si generano le chiavi: cd /var/db/domainkeys openssl genrsa –out rsa.private 1024 openssl rsa –in rsa.private –out mail3.key.pem –pubout –outform PEM
Firma dei mail (2) Si fa partire il processo dk-filter Opzioni: -d pd.infn.it - Dominio per il quale firmo -b s - Uso solo per firmare e non per verificare -c nofws - Tollero minime modifiche negli header (o simple) -H - Includo nella signature gli header che verifico -m MSA - Firmo in uscita -s <file> - File che contiene la chiave pubblica -S mail3 - Selector -M rcpt_mailer = esmtp – Test sulle macro di sendmail
Firma dei mail (3) Si pubblica la chiave sul DNS mail3._domainkey TXT "k=rsa\; t=y\; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCmDwQxGvRtbGam6c1N3s5rD5su6P3CkvYXpc8Top9jlq8oWCrJF7CZG/SFaPryIaBmNoEIq4C1b5IShekmEGYPc6wEVp599NATLSO7h5F3n23Q0z4sBuZNH2mcCm9lCfvZyKkzdygO/TYFoaugwppGyA/egXy7HGCAZSgl2vcBbQIDAQAB“ Dove t=y indica testing e k=rsa è il tipo di chiave; o=~\ ne firmo solo alcuni Si modifica la configurazione del sendmail INPUT_MAIL_FILTER (`dk-filter’,`S=local:/var/run/dk-filter,F=T,T=R:2m’)
Verifiche Nell’header del mail firmato compare la linea: DomainKey-Signature: a=rsa-sha1; s=mail3; d=pd.infn.it; c=nofws; q=dns; h=message-id:date: from:user-agent:......;b=hash. Per vedere il record nel DNS nslookup –type=TXT mail3._domainkey.pd.infn.it
Problemi e no Carico: non valutabile al momento attuale Cercando di non far firmare i mail interni ottengo che i mail delle mailing list non sono firmati, d’altra parte anche se lo fossero non sarebbero verificati. I mail spediti da un utente autenticato vengono sempre firmati.
DKIM ? Si abilita il plugin di spamassassin Richiede i moduli perl: loadplugin Mail::SpamAssassin::Plugin::DKIM Richiede i moduli perl: Crypt-OpenSSL-Bignum Mail-DKIM Installato solo sul mail server secondario, praticamente non ho dati.