Các công cụ do OpenDKIM cung cấp không cung cấp cặp khóa có thể sử dụng cho DKIM

tôi sử dụng opendkim-genkey -b 2048 -t -s mặc định -d mydomain.com, dẫn đến các tệp mặc định.riêng tư và mặc định.txt. Đúng, mặc định.riêng tư bắt đầu (chính xác, SFAIK) với ----- BEGIN RSA PRIVATE KEY ----- và mặc định.txt không vượt quá 256 ký tự trên mỗi phân đoạn (không vi phạm các yêu cầu mã hóa DNS.) Ngoài ra, opendkim-testkey không trả lại gì (không có -v) và với -v -v -v nó nói rằng Khóa không an toàn (nhưng tôi không sử dụng DNSSEC) và cả Phím OK, do đó, khóa ít nhất là chính xác tối thiểu theo opendkim per se.

tôi nhận được các lỗi

Ngày 26 tháng 9 22:41:49 mydomain opendkim[1793958]: 18R2fhko1843765: SSL error:0909006C:PEM routines:get_name:no start line
Ngày 26 tháng 9 22:41:49 mydomain opendkim[1793958]: 18R2fhko1843765: dkim_eom(): tài nguyên không khả dụng: PEM_read_bio_PrivateKey() không thành công
Ngày 26 tháng 9 22:41:49 mydomain sm-mta[1843765]: 18R2fhko1843765: milter=opendkim, reject=451 4.7.0 tài nguyên không khả dụng
Ngày 26 tháng 9 22:41:49 mydomain sm-mta[1843765]: 18R2fhko1843765: Milter: data, reject=451 4.7.0 tài nguyên không khả dụng
Ngày 26 tháng 9 22:41:49 mydomain sm-mta[1843765]: 18R2fhko1843765: to=<[email protected]>, delay=00:00:00, pri=30408, stat=resource không khả dụng

Tôi đã thấy rất nhiều tài liệu tham khảo tìm kiếm trên web về cả hai lỗi Lỗi SSL: 0909006C: thói quen PEM: get_name: không có dòng bắt đầu và dkim_eom(): không có tài nguyên: PEM_read_bio_PrivateKey() không thành công, nhưng không có gì giúp được. Khi tôi thấy "trường hợp đã đóng", đó là do lỗi triển khai của người dùng, chẳng hạn như quyền không hợp lệ, thông số vị trí tệp không hợp lệ hoặc định dạng khóa/txt không hợp lệ và người gửi thường nói "xin lỗi vì đã gây ồn ào", nhưng không ai trong số đó là trường hợp. Tôi đang thực hiện CHÍNH XÁC như tài liệu chỉ định, với các lỗi tôi đã ghi ở trên.

Dành cho những ai muốn biết, tôi đang sử dụng Ubuntu 20.04 LTS và sendmail 8.15.2. Khiếu nại bắt nguồn từ quy trình opendkim milter so với SSL, vì vậy bối cảnh bên ngoài không quan trọng.

Tôi sẽ hỏi trong danh sách gửi thư của opendkim, nhưng "lists.opendkim.org" không hoạt động.Tôi cần làm cho OpenDKIM chạy, để tuân theo Master Goo (ngoài ra đó là phương pháp hay nhất, o well.) Tôi sẽ biết ơn nếu có ai khác gặp phải vấn đề này, cụ thể là và có thể đưa ra câu trả lời hiệu quả.

Đầu ra tôi đang sử dụng chính xác là đầu ra của "opendkim-genkey", không có lỗi định dạng như được mô tả ở nơi khác và opendkim-testkey rất hài lòng, vì vậy xin thứ lỗi vì tôi chưa bao gồm dữ liệu thực tế đó.

p.s.: opendkim được cài đặt với apt cài đặt opendkim:

opendkim -p /var/run/opendkim.sock -V opendkim:
Bộ lọc OpenDKIM v2.11.0 Được biên dịch với OpenSSL 1.1.1f ngày 31 tháng 3 năm 2020  
SMFI_VERSION 0x1000001  
libmilter phiên bản 1.0.1  
Các thuật toán ký được hỗ trợ: rsa-sha1 rsa-sha256 ed25519-sha256  
Các thuật toán chuẩn hóa được hỗ trợ: đơn giản thoải mái  
Tùy chọn mã hoạt động: QUERY_CACHE USE_DB USE_LDAP USE_LUA USE_ODBX USE_UNBOUND _FFR_ATPS _FFR_RBL _FFR_REPLACE_RULES _FFR_SENDER_MACRO _FFR_STATS _FFR_VBR  
libopendkim 2.11.0: atps query_cache

Các khóa do công cụ opendkim tạo cũng như các khóa được tạo thủ công (theo tài liệu OpenDKIM) đều không vượt qua được lỗi.

Đây là một câu trả lời, hy vọng: Tôi đã cố gắng biên dịch OpenDKIM từ nguồn, nhưng chẳng đi đến đâu: lỗi PEM đã biến mất nhưng bộ lọc bị lỗi theo những cách khác gây tử vong cho việc sử dụng nó. Vì vậy, tôi đã nhận được "bộ lọc dk", phiên bản mới nhất đã lỗi thời, vì nó chỉ sử dụng SHA1, gọi "thư giãn" "nofws", chỉ xử lý một chuẩn hóa (thoải mái hoặc đơn giản, so với hai như trong 'thư giãn/đơn giản' và sử dụng 'dns' chứ không phải 'dns/txt'. Tôi đã hack nó theo RFC8301 (không ai trích dẫn) và nó có thể đang hoạt động; nó xử lý thư gửi đến và cuối cùng đã cho tôi chữ ký DKIM:

Tên miền-Chữ ký: a=rsa-sha256; s=10191; d=mydarneddomain.com; c=thoải mái/đơn giản; q=dns/txt;
    h=to:from:subject:message-id:date:user-agent:mime-version:
    content-type:content-transfer-encoding:content-language:x-uctc:x-sdmilter-detected;
    b=kldIuC9j/EIB7ouhRrhxmZBkC7xAazd8RiWHUA/1R0FZK265yeFgf+TPqbfTjErps
    CrkoCn1I2gdMpq8k9ZrdF8RsQk8FeZBVLGE9iY3D2Rkj/ozjdOyHgNaNDCHKfdnpiNp
    4uV/w7ZG8fAEdDwfSoQ3IBvCmxoszV2bzGvzKz+DuT17G8ES3aJcKsdm9+MEHz0VxrB
    EHdOd9ij/EBZFHTMwcLqBWVi+kTvUvzjFK1ssPEO9CHXIWqjBE1gKtfiIDkeJ7kx0w4
    ft8TiPvMb5Z1WyOPWoI6a+tNNz2at1URSYvxMcDi77m93GH5Tcda1fNN/shx9ze9Igw
    DwPHc6mFA==

Vì tôi đã hack thứ này vào tính tuân thủ và khả năng hoạt động (vẫn chưa được xác nhận trong thực tế, nhưng sẽ sớm thôi) và vì nó có thể hoạt động với tất cả những người mà OpenDKIM không hoạt động, nên nó đáng để chia sẻ, chẳng hạn như trên github. Tôi chưa biết làm thế nào để làm điều đó; nếu ai đó muốn giúp với điều đó, hãy cho tôi biết.

Điều này thực sự thô, thậm chí không có tệp "dk-filter.conf", thay vào đó người ta phải sử dụng dòng lệnh; tôi sử dụng

dk-filter -p inet:8892@localhost -b sv -c relax -d mydarneddomain.com -D -h -H -l -S 10191 -s /etc/dkimkeys/10191.private

mặc dù -d có thể đề cập đến một tệp liệt kê các máy chủ được ký (chưa được kiểm tra.) Nó cũng không phải là một "dịch vụ". Nếu ai đó có thể trích dẫn một cuốn sách giải thích cách gói nó lại, ví dụ: Ubuntu là một dịch vụ, hãy cho tôi biết.

p.s.: RFC8301 nhiệm vụ giá trị cụ thể và cấm việc sử dụng SHA1. Các trang web kiểm tra khóa DKIM có thể có nhận xét cũ nói rằng có thể sử dụng sha1 hoặc sha256. Hiện tại không có gì khác ngoài sha256 có thể được sử dụng và những nhận xét đó đã lỗi thời.

Tôi đã xác minh rằng khóa là chính xác (riêng tư<==>công khai) và có thể truy cập bằng hai cách khác nhau. Tôi không sử dụng KeyTable. /etc/opendkim.conf (tên miền thực được ngụy trang) của tôi là:

Nhật ký hệ thống có
Mặt nạ 007
Tên miền mydomain.sometld
KeyFile /etc/dkimkeys/10191.private
Bộ chọn 10191
Chế độ v
Ổ cắm inet:8892@localhost
#@Socket cục bộ:/run/opendkim/opendkim.sock
PidFile /run/opendkim/opendkim.pid
OversignHeaders From
TrustAnchorFile /usr/share/dns/root.key
UserID opendkim

Tôi giữ bộ lọc ở chế độ "v", vì "sv" bị lỗi như đã chỉ ra và tôi chỉ phải khởi động lại bộ lọc bằng "sv" để kiểm tra. Sử dụng opendkim-2.10.3 thu được từ opendkim.org: Tôi đã hack libopendkim/dkim.c, được sử dụng bởi bộ lọc, để hiển thị cho tôi 96 ký tự (*) đầu tiên của khóa đang được thử, khi lần tiếp theo nó bị lỗi (vào đầu giờ sáng khi không ai quan tâm.) (*) 96 = dòng tiêu đề + 'hàng' đầu tiên của dữ liệu chính.

1135 nếu (strncmp((char *) dkim->dkim_key, "-----", 5) == 0)
1136 { /* PEM */
1137 rsa->rsa_pkey = PEM_read_bio_PrivateKey(rsa->rsa_keydata, NULL,
1138 NULL, NULL);
1139 
1140 nếu (rsa->rsa_pkey == NULL)
1141 {
1142 dkim_load_ssl_errors(dkim, 0);
1143 dkim_error(dkim, "PEM_read_bio_PrivateKey() không thành công");
1144 // ecsd: chúng tôi muốn xem lỗi gì:
1145 char dbuf[128]; sprintf(dbuf,"dkim_key %96,96s\n",dkim->dkim_key);
1146 dkim_error(dkim, dbuf);
1147 // kết thúc gỡ lỗi bổ sung
1148 BIO_free(rsa->rsa_keydata);
1149 rsa->rsa_keydata = NULL;
1150 trả về DKIM_STAT_NORESOURCE;
1151 }
1152 }

Tôi nên gỡ lỗi PEM_read_bio_PrivateKey (để tìm hiểu xem nó đang nói về cái gì), nhưng quá lo lắng khi biên dịch lại toàn bộ hệ thống con đó, bên cạnh đó, lời phàn nàn là do tiêu đề không hợp lệ, vì vậy tôi chỉ cần hiểu "thay vào đó" đang thử cái gì vì nội dung của khóa riêng là chính xác. Trong khi đó, opendkim.org có vấn đề gì khi danh sách gửi thư của họ không hoạt động và các địa chỉ liên hệ được liệt kê tại opendkim.org và dkim.org không hoạt động? Giống như mọi người đã chán và về nhà. Không thú vị cho một giao thức mà bạn muốn áp dụng rộng rãi. Ít nhất là mã cố gắng, nhưng ví dụ:Tôi đã phải hack "cấu hình" để ngăn nó yêu cầu thư viện chứa SSL_library_init(), mà tài liệu (thế giới bên ngoài) nói là bị cấm (do đó, mã opendkim dường như không được duy trì đúng cách.)

cấu hình:
16846 năm
16847 rm conftest.$ac_ext
16848 LIBS=$ac_func_search_save_LIBS
16849 năm
16850 #ecsd
16851 $as_echo "cho libssl, LIBS:$LIBS"
16852 { $as_echo "$as_me:${as_lineno-$LINENO}: kết quả: $ac_cv_search_SSL_library_init" >&5
16853 $as_echo "$ac_cv_search_SSL_library_init" >&6; }
16854 ac_res=$ac_cv_search_SSL_library_init
16855 #ecsd:
16856 #if kiểm tra "$ac_res" != không; sau đó :
16857 # kiểm tra "$ac_res" = "không bắt buộc" || LIBS="$ac_res $LIBS"
16858 #khác
16859 # as_fn_error $? "không tìm thấy libssl" "$LINENO" 5
16860 #fi
16861 
16862 
16863 
16864 năm