OpenDKIM и почтальон

У меня есть небольшой почтовый сервер на базе Fedora с postfix, OpenDKIM, spamassassin и mailman.

• Подпись OpenDKIM для исходящих писем работает
• Верификация OpenDKIM для входящих писем работает

Когда сообщение DKIM отправляется в список рассылки, я вижу в заголовках следующее:

DKIM-фильтр: фильтр OpenDKIM v2.11.0 corti.li DB09BDFEE4
Результаты аутентификации: corti.li;
    dkim=fail Reason="ошибка проверки подписи" (2048-битный ключ; незащищенный) header.d=id.ethz.ch [email protected] header.a=rsa-sha256 header.s=key1- Заголовок q3-2021.b=FOCb7EwF
[...]
DKIM-фильтр: OpenDKIM Filter v2.11.0 corti.li A2C29DFED2
Получено: от mailg210.ethz.ch (mailg210.ethz.ch [129.132.198.194])
 (с использованием TLSv1.2 с шифром ECDHE-RSA-AES256-GCM-SHA384 (256/256 бит))
 (Сертификат клиента не запрошен)
 от corti.li (Postfix) с идентификатором ESMTPS 98D21DF4AC
 для <[email protected]>; Чт, 2 декабря 2021 г., 14:19:55 +0100 (центральноевропейское время)
DKIM-фильтр: OpenDKIM Filter v2.11.0 corti.li 98D21DF4AC
DKIM-подпись: v=1; а=rsa-sha256; c=расслабленный/расслабленный; д=id.ethz.ch;
 с=key1-q3-2021; т=1638451169; h = От: Тема: Дата: Идентификатор сообщения: Кому
 :MIME-версия:Content-Type; bh=qzmynR6bBoUQ7r53VOIB9APaTNZN6JNW86G7ge/XIj
 У=; b=FOCb7EwFI/pVyk/KvT2kEAFLcKguQN9b+UzfLobMxPe1YwAm1wHRRSs3ZXo8l1DUJTM
 J5/lO3rJAMu8+ZidXMHLSFWl7JwZ2ciqB93RiQMYNONBLZ+HOYpkUxzof3L9MAzdCmGeaJisF
 bk8FF/E8G+rGrBP7xXMpv+MgvofWU9RVCTQZqLOnWqPYyBsEsptByHDgsrUsmPGZSxQ1OUasd
 j6cEkRfXk3EVqVNVZXWfGLWDD4CWd0VKSNMGk/SMPgx9L63SUe1qSv4PUIJn9Lepn6gnvZaE9
 D7+v3uk69Kfglr4gK7OpFB1X/YQrEhQYzcstB6+sUUVTFhA3ROKyuHXA==;

В этом примере

• corti.li мой сервер
• @id.ethz.ch — исходящий домен

Конфигурация OpenDKIM в /etc/postfix/main.cf:

# Конфигурация Milter
milter_default_action = принять
milter_protocol = 6
smtpd_milters = инет:127.0.0.1:8891
non_smtpd_milters = $smtpd_milters

Mailman настраивается через

./postfix/main.cf:alias_maps = hash:/etc/aliases, hash:/etc/mailman/aliases

и такие записи, как

список тестов: "|/usr/lib/mailman/mail/mailman post testlist"

в /etc/почтальон/псевдонимы

Спамассасин это /etc/postfix/master.cf настроен как:

[root@corti etc]# grep spamass /etc/postfix/master.cf
smtp inet n - n - - smtpd -o content_filter=spamassassin -o tls_preempt_cipherlist=yes
отправка inet n - n - - smtpd -o content_filter=spamassassin -o tls_preempt_cipherlist=yes
smtps inet n - n - - smtpd -o content_filter=spamassassin -o tls_preempt_cipherlist=yes
spamassassin unix - n n - - pipe user=spamassassin argv=/usr/bin/spamc -e /usr/sbin/sendmail -oi -f ${отправитель} ${получатель}

Записи журнала о A2C29DFED2

02 декабря 14:19:57 corti.li postfix/pickup[190218]: A2C29DFED2: uid=513 from=<[email protected]>
02 декабря 14:19:57 corti.li postfix/cleanup[194198]: A2C29DFED2: message-id=<[email protected]>
02 декабря, 14:19:57 corti.li opendkim[192090]: A2C29DFED2: нет соответствия таблицы подписи для «*****@id.ethz.ch»
02 декабря 14:19:57 corti.li opendkim[192090]: A2C29DFED2: проверка DKIM прошла успешно
02 декабря 14:19:57 corti.li postfix/qmgr[1080]: A2C29DFED2: from=<[email protected]>, size=12955, nrcpt=1 (очередь активна)
02 декабря 14:19:57 corti.li postfix/local[194206]: A2C29DFED2: to=<[email protected]>, relay=local, delay=0,1, delays=0,01/0/0/0,09, dsn=2,0 .0, статус=отправлено (доставлено команде: /usr/lib/mailman/mail/mailman post rpg)
02 декабря 14:19:57 corti.li postfix/qmgr[1080]: A2C29DFED2: удалено

и

02 декабря 14:20:03 corti.li postfix/pickup[190218]: DB09BDFEE4: uid=513 from=<[email protected]>
02 декабря 14:20:03 corti.li postfix/cleanup[194198]: DB09BDFEE4: message-id=<[email protected]>
02 декабря, 14:20:03 corti.li opendkim[192090]: DB09BDFEE4: нет соответствия таблицы подписи для '*****@id.ethz.ch'
02 декабря 14:20:03 corti.li opendkim[192090]: DB09BDFEE4: неверные данные подписи
02 декабря 14:20:03 corti.li postfix/qmgr[1080]: DB09BDFEE4: from=<[email protected]>, size=14580, nrcpt=1 (очередь активна)
02 декабря 14:20:03 corti.li postfix/local[194206]: DB09BDFEE4: передача <[email protected]> в transport=procmail
02 декабря 14:20:04 corti.li postfix/pipe[194207]: DB09BDFEE4: to=<[email protected]>, relay=procmail, delay=0,15, delays=0,07/0/0/0,08, dsn=2,0 .0, статус=отправлено (доставлено через службу procmail)
02 декабря 14:20:04 corti.li postfix/qmgr[1080]: DB09BDFEE4: удалено

Почему проверяется DKIM-подпись исходящего сообщения? почтальон изменяет сообщение, и исходная подпись больше не актуальна.

Я мог бы решить проблему, сказав почтальону всегда удалить подпись DKIM:

# Некоторые сообщения списка и почта на адрес -owner могут содержать DomainKey или                                                                        
# Заголовки подписи DomainKeys Identified Mail (DKIM) <http://www.dkim.org/>.                                                                    
# Различные преобразования списка в сообщение, такие как добавление заголовка списка или                                                                    
# Нижний колонтитул или очистка вложений или даже ответ на ответ могут сломать эти                                                                       
# подписи. Обычно считается, что эти подписи имеют ценность, даже если                                                                    
# сломано и даже если исходящее сообщение смирилось. Однако некоторые сайты                                                                      
# может потребоваться удалить эти заголовки. Возможные значения и значения:                                                                           
# Нет, 0, False -> не удалять заголовки.                                                                                                         
# Да, 1, True -> удалять заголовки, только если мы искажаем заголовок from                                                                      
# в from_is_list или dmarc_moderation_action.                                                                                    
# 2 -> всегда удалять заголовки.                                                                                                                    
# 3 -> всегда удалять, переименовывать и сохранять исходные заголовки DKIM.                                                                                
REMOVE_DKIM_HEADERS = 2