[Exim-users] DKIM
Коллеги, Такой минимальной конфигурации достаточно для проверки DKIM во входящей почте? (для доменов gmail.com, groups.io присутствие подписи обязательно, для остальных - проверяем если она есть): dkim_verify_signers = gmail.com:groups.io:$dkim_signers acl_smtp_dkim = acl_check_dkim begin acl acl_check_dkim: denymessage = DKIM signature verification failure dkim_status = none:invalid:fail accept -- Victor Sudakov, VAS4-RIPE, VAS47-RIPN 2:5005/49@fidonet http://vas.tomsk.ru/ ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
[Exim-users] DKIM + transport_filter
Всем привет. Есть несколько нюансов. Подскажите, правильно ли я их понимаю. 1) Насколько я понял из официальной документации по DKIM, то он формирует подпись на основе всего сообщения, а не только заголовков. То есть, если после подписи DKIM, в тело сообщения добавить текст, не меняя исходный DKIM, то валидацию оно не пройдёт на принимающей стороне. 2) transport_filter (будет использоваться для добавления подписи) применяется после подписи DKIM? Если да, то какие есть способы добавлять кастомные подписи в зависимости от отправителя? Заранее спасибо. ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] DKIM
> Такой минимальной конфигурации достаточно для проверки DKIM во > входящей почте? (для доменов gmail.com, groups.io присутствие подписи > обязательно, для остальных - проверяем если она есть): > > dkim_verify_signers = gmail.com:groups.io:$dkim_signers > acl_smtp_dkim = acl_check_dkim > > begin acl > > acl_check_dkim: > denymessage = DKIM signature verification failure > dkim_status = none:invalid:fail > > accept Подозреваю, что это будет отвергать все письма от всех остальных кроме gmail и groups.io. ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] DKIM
l...@lena.kiev.ua wrote: Такой минимальной конфигурации достаточно для проверки DKIM во входящей почте? (для доменов gmail.com, groups.io присутствие подписи обязательно, для остальных - проверяем если она есть): dkim_verify_signers = gmail.com:groups.io:$dkim_signers acl_smtp_dkim = acl_check_dkim begin acl acl_check_dkim: denymessage = DKIM signature verification failure dkim_status = none:invalid:fail accept Подозреваю, что это будет отвергать все письма от всех остальных кроме gmail и groups.io. А почему? По моему представлению: 1. Если в письме нет DKIM-заголовков и это не gmail и groups.io, то они в acl_check_dkim вообще не попадут (их не окажется в dkim_verify_signers, потому что их не будет в $dkim_signers). 2. Если в письме нет DKIM-заголовков и это gmail или groups.io, то результат проверки будет none и такие письма будут отвергнуты. 3. Если заголовки есть, они попадут в acl_check_dkim и будут проверены, и отвергнуты, если результат проверки invalid или fail. Что я не учёл? -- Victor Sudakov, VAS4-RIPE, VAS47-RIPN 2:5005/49@fidonet http://vas.tomsk.ru/ ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] DKIM
> >>Такой минимальной конфигурации достаточно для проверки DKIM во > >>входящей почте? (для доменов gmail.com, groups.io присутствие подписи > >>обязательно, для остальных - проверяем если она есть): > >> > >>dkim_verify_signers = gmail.com:groups.io:$dkim_signers > >>acl_smtp_dkim = acl_check_dkim > >> > >>begin acl > >> > >>acl_check_dkim: > >>denymessage = DKIM signature verification failure > >>dkim_status = none:invalid:fail > >> > >>accept > > > >Подозреваю, что это будет отвергать все письма от всех остальных кроме > >gmail и groups.io. > > А почему? > > По моему представлению: > > 1. Если в письме нет DKIM-заголовков и это не gmail и groups.io, то > они в acl_check_dkim вообще не попадут (их не окажется в > dkim_verify_signers, потому что их не будет в $dkim_signers). В dkim_verify_signers есть gmail.com. Будет проверка gmail.com, результат none. ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] DKIM
l...@lena.kiev.ua wrote: >>Такой минимальной конфигурации достаточно для проверки DKIM во >>входящей почте? (для доменов gmail.com, groups.io присутствие подписи >>обязательно, для остальных - проверяем если она есть): >> >>dkim_verify_signers = gmail.com:groups.io:$dkim_signers >>acl_smtp_dkim = acl_check_dkim >> >>begin acl >> >>acl_check_dkim: >>denymessage = DKIM signature verification failure >>dkim_status = none:invalid:fail >> >>accept > >Подозреваю, что это будет отвергать все письма от всех остальных кроме >gmail и groups.io. А почему? По моему представлению: 1. Если в письме нет DKIM-заголовков и это не gmail и groups.io, то они в acl_check_dkim вообще не попадут (их не окажется в dkim_verify_signers, потому что их не будет в $dkim_signers). В dkim_verify_signers есть gmail.com. dkim_verify_signers - это список тех From, которых надо передавать на проверку в acl_smtp_dkim. Поэтому если письмо будет (по-настоящему или не по-настоящему) от gmail.com, то да Будет проверка gmail.com, результат none. Или fail. Или pass. В зависимости от того, действительно ли это письмо от gmail.com. В общем наверное лучше мне заменить deny на warn и проверить на практике, чем тут теоретизировать. -- Victor Sudakov, VAS4-RIPE, VAS47-RIPN 2:5005/49@fidonet http://vas.tomsk.ru/ ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] DKIM
Victor Sudakov wrote:
>>Такой минимальной конфигурации достаточно для проверки DKIM во
>>входящей почте? (для доменов gmail.com, groups.io присутствие подписи
>>обязательно, для остальных - проверяем если она есть):
>>
>>dkim_verify_signers = gmail.com:groups.io:$dkim_signers
>>acl_smtp_dkim = acl_check_dkim
>>
>>begin acl
>>
>>acl_check_dkim:
>>denymessage = DKIM signature verification failure
>>dkim_status = none:invalid:fail
>>
>>accept
[dd]
В общем наверное лучше мне заменить deny на warn и проверить на
практике, чем тут теоретизировать.
Вроде работает как ожидается. Пока только помечаю и набираю
статистику, в приёме не отказываю:
==
dkim_verify_signers =
gmail.com:yandex.ru:groups.io:ebay.com:paypal.com:$dkim_signers
acl_smtp_dkim = acl_check_dkim
begin acl
acl_check_dkim:
warn dkim_status = none:invalid:fail
add_header = X-DKIM-Debug: $dkim_verify_status
add_header = :at_start:${authresults {$primary_hostname}}
accept add_header = X-DKIM-Debug: $dkim_verify_status
add_header = :at_start:${authresults {$primary_hostname}}
==
--
Victor Sudakov, VAS4-RIPE, VAS47-RIPN
2:5005/49@fidonet http://vas.tomsk.ru/
___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] DKIM
Victor Sudakov wrote: Вроде работает как ожидается. И даже красиво получилось с поддельным письмом: Date: Mon, 19 Nov 2018 20:50:14 -0700 From offic...@ail.com Tue Nov 20 10:50:55 2018 From: PayPal Service To: v...@vas.dcs.aber.ac.uk Subject: Alert : Important about your account. Authentication-Results: admin.sibptus.ru; iprev=fail; spf=none smtp.mailfrom=ail.com; dkim=tmperror (pubkey unavailable) header.d=ksjung14.com header.s=default header.a=rsa-sha256 X-DKIM-Debug: invalid X-SpamProbe: GOOD 0.809 495782c13b123604eabad8f4f0baffbd Click here to view this message in your browser. -- Victor Sudakov, VAS4-RIPE, VAS47-RIPN 2:5005/49@fidonet http://vas.tomsk.ru/ ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] DKIM
Подскажите pls, как исключить определённых локальных пользователей из проверки DKIM при приёме почты для них? По условию domain (эти пользователи в виртуальных доменах) не получилось: "cannot test domains condition in DKIM ACL" -- Victor Sudakov, VAS4-RIPE, VAS47-RIPN 2:5005/49@fidonet http://vas.tomsk.ru/ ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] DKIM
> Подскажите pls, как исключить определённых локальных пользователей из
> проверки DKIM при приёме почты для них? По условию domain (эти
> пользователи в виртуальных доменах) не получилось:
>
> "cannot test domains condition in DKIM ACL"
${if forall{<, $recipients}\
{inlist{${domain:$item}}\
{example.com:example.org}}}
Или forany. Выборочно уже поздно, письмо уже принято для всех получателей.
___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] DKIM
Доброго времени суток. Решил тоже вернуться к проверке DKIM. Раньше я ничего полезного для себя в проверке DKIM во входящей почте не получил. Промониторив несколько дней почту на ошибки DKIM понял, что на статус "invalid" не стоит обращать внимания ... Ошибки типа "failed key import". Что может быть полезным - статус "fail". Т.е. подпись есть, но проверка не проходит. И вот здесь засада :( Домены, которые используют услуги Office 365, не проходят проверку. Например: mih.onmicrosoft.com; fail - bodyhash_mismatch -- это metinvestholding.com datagr.onmicrosoft.com; fail - bodyhash_mismatch -- это Датагруп. В privatbank.ua используются сервисы Google: privatbank.ua; fail - signature_incorrect Т.е. вполне себе уважаемые и не маленькие компании в Украине. И если согласно FAIL не принять письмо ... - в общем не стоит :) Разве что выполнять проверки только для конкретных доменов типа google.com, paylal.com .., о чем и писал в своем вопросе Виктор. 17.11.2018 12:17, Victor Sudakov пишет: Коллеги, Такой минимальной конфигурации достаточно для проверки DKIM во входящей почте? (для доменов gmail.com, groups.io присутствие подписи обязательно, для остальных - проверяем если она есть): dkim_verify_signers = gmail.com:groups.io:$dkim_signers acl_smtp_dkim = acl_check_dkim begin acl acl_check_dkim: deny message = DKIM signature verification failure dkim_status = none:invalid:fail accept ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] DKIM
Здравствуйте, Mikhail. Вы писали 26 ноября 2018 г., 20:49:30: > Доброго времени суток. > Решил тоже вернуться к проверке DKIM. > Раньше я ничего полезного для себя в проверке DKIM во входящей почте не > получил. > Промониторив несколько дней почту на ошибки DKIM понял, что на статус > "invalid" не стоит обращать внимания ... > Ошибки типа "failed key import". > Что может быть полезным - статус "fail". Т.е. подпись есть, но проверка > не проходит. > И вот здесь засада :( > Домены, которые используют услуги Office 365, не проходят проверку. > Например: > mih.onmicrosoft.com; fail - bodyhash_mismatch -- это metinvestholding.com > datagr.onmicrosoft.com; fail - bodyhash_mismatch -- это Датагруп. > В privatbank.ua используются сервисы Google: > privatbank.ua; fail - signature_incorrect > Т.е. вполне себе уважаемые и не маленькие компании в Украине. > И если согласно FAIL не принять письмо ... - в общем не стоит :) > Разве что выполнять проверки только для конкретных доменов типа > google.com, paylal.com .., о чем и писал в своем вопросе Виктор. странно, тк dkim это аналог цифровой подписи, а для фин. организаций автоматичное подтверждение истинности письма это большой плюс. Недавно столкнулся с тем, что у клиента (трейдера) хакеры активно рассылали фейковые письма обеим сторонам в попытке выставить левые реквизиты для оплаты контракта. -- С уважением, Alexander mailto:t...@irk.ru ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] DKIM
Mikhail Golub wrote: Решил тоже вернуться к проверке DKIM. Раньше я ничего полезного для себя в проверке DKIM во входящей почте не получил. А чего я собственно вообще заинтересовался DKIM-ом. Есть неплохой почтовый клиент для Андроид, называется AquaMail. Так вот он рисует на письме зелёный или красный замочек в зависимости от содержимого хедера Authentication-Results. Лучше бы он, наверное, этого не делал... Промониторив несколько дней почту на ошибки DKIM понял, что на статус "invalid" не стоит обращать внимания ... Ошибки типа "failed key import". Что может быть полезным - статус "fail". Т.е. подпись есть, но проверка не проходит. И вот здесь засада :( И ещё какая. Домены, которые используют услуги Office 365, не проходят проверку. Если бы только они. Вот например твоё письмо, на которое я сейчас отвечаю - тоже не прошло проверку: dkim=fail (body hash mismatch; body probably modified in transit) Это, как я понимаю, известная и описанная в RFC6377 багофича, когда mail list manager дописывает футер в тело сообщения, и сообщение становится неаутентичным. Видимо MLM на mailground.net тоже страдает этой проблемой - и это неизбежно, если этот MLM не является DKIM-aware. Письма, прошедшие через списки рассылки freebsd.org, тоже приходят с невалидной подписью, т.к. MLM дописывает футер. Впрочем если подписать письмо в рассылку с помощью PGP/MIME, то MLM не трогает тело и подпись остаётся валидная. Гораздо интереснее, когда в папке писем, не прошедших проверку, я обнаружил письма от cust-security-announce AT cisco.com и CGPupdate-report AT mail.stalker.com - удивлению моему не было предела. Причины аналогичные: body modified in transit или headers modified in transit. Эти-то могли бы заметить, серьёзные же люди. Например: mih.onmicrosoft.com; fail - bodyhash_mismatch -- это metinvestholding.com datagr.onmicrosoft.com; fail - bodyhash_mismatch -- это Датагруп. В privatbank.ua используются сервисы Google: privatbank.ua; fail - signature_incorrect Т.е. вполне себе уважаемые и не маленькие компании в Украине. И если согласно FAIL не принять письмо ... - в общем не стоит :) А красный замочек напротив такого письма AquaMail всё равно нарисует. Разве что выполнять проверки только для конкретных доменов типа google.com, paylal.com .., о чем и писал в своем вопросе Виктор. Вот и сделай проверку для cisco.com - будет сюрприз. -- Victor Sudakov, VAS4-RIPE, VAS47-RIPN 2:5005/49@fidonet http://vas.tomsk.ru/ ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] DKIM
Да, с DKIM все печально. Вот пример конкретного письма. 2018-12-04 01:52:41 1gTy13-000C3F-7I DKIM-Debug: address=nore...@twoomail.com dkim_domain=twoomail.com - bodyhash_mismatch 2018-12-04 01:52:41 1gTy13-000C3F-7I DKIM-Debug: address=nore...@twoomail.com dkim_domain=@twoomail.com - bodyhash_mismatch 2018-12-04 01:52:42 1gTy13-000C3F-7I <= nore...@twoomail.com H=mx26.netlogmail.com [77.73.183.10] P=esmtp S=40698 id=39.61.03247.3CCB50C5@mail04 T="🎉 Намечается вечеринка в Киев и ты приглашена!" from for ... Т.е. во время приема письма проверка DKIM не пройдена - bodyhash_mismatch. Но когда это письмо открываю в Mozilla Thunderbird с плагином https://github.com/lieser/dkim_verifier то пишет "Valid (Signed by twoomail.com)" ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] DKIM
On 04/12/2018 08:57, Mikhail Golub wrote:
> Да, с DKIM все печально.
>
> Вот пример конкретного письма.
>
> 2018-12-04 01:52:41 1gTy13-000C3F-7I DKIM-Debug:
> address=nore...@twoomail.com dkim_domain=twoomail.com - bodyhash_mismatch
> 2018-12-04 01:52:41 1gTy13-000C3F-7I DKIM-Debug:
> address=nore...@twoomail.com dkim_domain=@twoomail.com - bodyhash_mismatch
> 2018-12-04 01:52:42 1gTy13-000C3F-7I <= nore...@twoomail.com
> H=mx26.netlogmail.com [77.73.183.10] P=esmtp S=40698
> id=39.61.03247.3CCB50C5@mail04 T="🎉 Намечается вечеринка в Киев и ты
> приглашена!" from for ...
>
> Т.е. во время приема письма проверка DKIM не пройдена - bodyhash_mismatch.
Если это не simple/simple каноникализация, то это достаточно странно. С
relaxed обычно такой чепухи не бывает, а simple использовать вообще нельзя.
> Но когда это письмо открываю в Mozilla Thunderbird с плагином
> https://github.com/lieser/dkim_verifier то пишет "Valid (Signed by
> twoomail.com)"
На самом деле ко мне часто приходят люди, желающие добавлять подписи к
mime содержимому писем. Но мне кажется, что единственным разумным
решением данной проблемы было бы использование arc: вначале мы проверяем
подпись до модификаций, потом портим всячески письмо и продолжаем arc
цепочку. Но как это прикрутить к mailman, я не знаю, не разбирался.
Например, письмо, на которое я отвечаю, arc цепочку начало:
ARC-Seal: i=1; a=rsa-sha256; t=1543913869; cv=none; d=zoho.eu; s=zohoarc; b=
ARC-Message-Signature: i=1; a=rsa-sha256; c=relaxed/relaxed; d=zoho.eu;
s=zohoarc; t=1543913869;
h=Content-Type:Content-Transfer-Encoding:Date:From:In-Reply-To:MIME-Version:Message-ID:References:Subject:To:ARC-Authentication-Results;
bh=KO2wg49FV4NCRKP3W58hfpeyD/HY/uNBs/4ioqIM4d4=; b=
ARC-Authentication-Results: i=1; mx.zoho.eu; dkim=pass header.i=gmn.org.ua;
spf=pass smtp.mailfrom=g...@gmn.org.ua;
dmarc=pass header.from= header.from=
А mailman листа взял все и запорол, поменяв письмо, но не продолжив arc.
В итоге:
R_DKIM_REJECT(1.00)[gmn.org.ua:s=dkim];
ARC_REJECT(2.00)[signature check failed: fail, {[1] = sig:zoho.eu:reject}];
А если бы mailman научить ходить к тому же Rspamd за подписью, то все
было бы хорошо. Тот же gmail показал бы, что письмо подписано верно.
Впрочем, arc - это вопрос еще и доверия к релею...
___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] DKIM
04.12.2018 14:28, Vsevolod Stakhov пишет:
On 04/12/2018 08:57, Mikhail Golub wrote:
Т.е. во время приема письма проверка DKIM не пройдена - bodyhash_mismatch.
Если это не simple/simple каноникализация, то это достаточно странно. С
relaxed обычно такой чепухи не бывает, а simple использовать вообще нельзя.
DKIM-Signature: v=1; a=rsa-sha256; d=twoomail.com; s=twoo; c=relaxed/simple;
q=dns/txt; i=@twoomail.com; t=1543879875;
"Canonicalization: определяет методы канонизации, используемые при
подписании сообщения. Метод simple не позволяет почти никакого изменения
сообщения, в то время как relaxed допускает незначительные изменения,
такие как замена пробелов; При значении relaxed/simple заголовок
сообщения будут обрабатываться с "непринужденным" алгоритмом а тело
"простым"."
Но интересно почему при проверке DKIM в Exim проверка не пройдена, а
Mozilla Thunderbird пройдена?
Настройки Exim касательно проверки DKIM минимальные.
acl_smtp_dkim = check_dkim
check_dkim:
accept hosts = +relay_from_hosts : +my_external_nets
control = dkim_disable_verify
warn dkim_status = fail
condition = ${if !match{$dkim_cur_signer}{.onmicrosoft.com}}
logwrite = DKIM-Debug: address=$sender_address
dkim_domain=$dkim_cur_signer - $dkim_verify_reason
___
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] DKIM
On 04/12/2018 13:10, Mikhail Golub wrote: > 04.12.2018 14:28, Vsevolod Stakhov пишет: >> On 04/12/2018 08:57, Mikhail Golub wrote: >>> Т.е. во время приема письма проверка DKIM не пройдена - >>> bodyhash_mismatch. >> >> Если это не simple/simple каноникализация, то это достаточно странно. С >> relaxed обычно такой чепухи не бывает, а simple использовать вообще >> нельзя. >> > > DKIM-Signature: v=1; a=rsa-sha256; d=twoomail.com; s=twoo; > c=relaxed/simple; > q=dns/txt; i=@twoomail.com; t=1543879875; > > "Canonicalization: определяет методы канонизации, используемые при > подписании сообщения. Метод simple не позволяет почти никакого изменения > сообщения, в то время как relaxed допускает незначительные изменения, > такие как замена пробелов; При значении relaxed/simple заголовок > сообщения будут обрабатываться с "непринужденным" алгоритмом а тело > "простым"." > > Но интересно почему при проверке DKIM в Exim проверка не пройдена, а > Mozilla Thunderbird пройдена? Полагаю, из-за line endings в body. Некоторые имплементации алгоритмов проверки работают с нормализованными line endings, а некоторые - с "сырыми". Rspamd, например, нормализует все одиночные \r и \n в \r\n. Как делает реализация Exim, я не в курсе. ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] DKIM
Victor Sudakov wrote: Это, как я понимаю, известная и описанная в RFC6377 багофича, когда mail list manager дописывает футер в тело сообщения, и сообщение становится неаутентичным. Видимо MLM на mailground.net тоже страдает этой проблемой - и это неизбежно, если этот MLM не является DKIM-aware. Письма, прошедшие через списки рассылки freebsd.org, тоже приходят с невалидной подписью, т.к. MLM дописывает футер. Впрочем если подписать письмо в рассылку с помощью PGP/MIME, то MLM не трогает тело и подпись остаётся валидная. Гораздо интереснее, когда в папке писем, не прошедших проверку, я обнаружил письма от cust-security-announce AT cisco.com и CGPupdate-report AT mail.stalker.com - удивлению моему не было предела. Причины аналогичные: body modified in transit или headers modified in transit. Эти-то могли бы заметить, серьёзные же люди. А вот MLM на groups.io, надо отдать должное, красиво работает. Всю рассылаемую почту подписывает своим доменом. -- Victor Sudakov, VAS4-RIPE, VAS47-RIPN 2:5005/49@fidonet http://vas.tomsk.ru/ ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
[Exim-users] DKIM и KAS
Возникла проблема при работе DKIM с Kaspersky Antispam. В конфиге такой вот ACL: warn <-->sender_domains = mail.ru:list.ru:bk.ru <-->dkim_signers = mail.ru:list.ru:bk.ru <-->dkim_status = none:invalid:fail <-->logwrite = Message from MailRU with invalid or missing signature(LOG) from $sender_address Когда приходит письмо: mail1# cat /var/log/exim/exim-main-20120222.log | grep '1S069l-000ObC-Si' 2012-02-22 10:58:29 [94562] 1S069l-000ObC-Si DKIM: d=mail.ru s=mail c=relaxed/relaxed a=rsa-sha256 [verification succeeded] 2012-02-22 10:58:29 [94562] 1S069l-000ObC-Si DKIM test passed (address=b...@mail.ru domain=mail.ru), good signature. Письмо передается для проверки KAS и сразу фаталити. mail1# cat /var/log/exim/exim-main-20120222.log | grep '1S069m-000ObJ-Eb' 2012-02-22 10:58:30 [94569] 1S069m-000ObJ-Eb DKIM: d=mail.ru s=mail c=relaxed/relaxed a=rsa-sha256 [verification failed - body hash mismatch (body probably modified in transit)] 2012-02-22 10:58:30 [94569] 1S069m-000ObJ-Eb DKIM test failed: bodyhash_mismatch Причем такое наблюдается не для всех писем. Например, когда я посылаю письмо: mail1# cat /var/log/exim/exim-main-20120222.log | grep 'darkhost' | grep DKIM 2012-02-22 11:29:20 [5761] 1S06dc-0001Uv-Pt DKIM test passed (address=darkh...@mail.ru domain=mail.ru), good signature. 2012-02-22 11:29:21 [5767] 1S06dd-0001V1-3R DKIM test passed (address=darkh...@mail.ru domain=mail.ru), good signature. ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] DKIM + transport_filter
Приветствую! 1. Неправильно поняли. Используется определённый набор заголовков. Список рекомендованных есть в 5.4.1. RFC 6376 2. Делать это не в фильтре, а в самом транспорте. skele...@lissyara.su писал 2016-06-06 09:18: Всем привет. Есть несколько нюансов. Подскажите, правильно ли я их понимаю. 1) Насколько я понял из официальной документации по DKIM, то он формирует подпись на основе всего сообщения, а не только заголовков. То есть, если после подписи DKIM, в тело сообщения добавить текст, не меняя исходный DKIM, то валидацию оно не пройдёт на принимающей стороне. 2) transport_filter (будет использоваться для добавления подписи) применяется после подписи DKIM? Если да, то какие есть способы добавлять кастомные подписи в зависимости от отправителя? Заранее спасибо. ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users -- Best regards, Max Kostikov Mobile: +7(952)7927000 | BBM: 24CA5DF8 | https://kostikov.co ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] DKIM + transport_filter
06.06.2016 10:43, Max Kostikov пишет: Приветствую! 1. Неправильно поняли. Используется определённый набор заголовков. Список рекомендованных есть в 5.4.1. RFC 6376 2. Делать это не в фильтре, а в самом транспорте. 1. То есть изменённое тело письма позволяет пройти валидацию DKIM, если заголовки не менялись? 2. Так собственно это и планируется. Данная опция используется в транспорте. ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] DKIM + transport_filter
1. Да. 2. Так и надо, всё верно. skele...@lissyara.su писал 2016-06-06 10:11: 06.06.2016 10:43, Max Kostikov пишет: Приветствую! 1. Неправильно поняли. Используется определённый набор заголовков. Список рекомендованных есть в 5.4.1. RFC 6376 2. Делать это не в фильтре, а в самом транспорте. 1. То есть изменённое тело письма позволяет пройти валидацию DKIM, если заголовки не менялись? 2. Так собственно это и планируется. Данная опция используется в транспорте. ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users -- Best regards, Max Kostikov BBM: 24CA5DF8 | https://kostikov.co ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] DKIM + transport_filter
Всем привет, Тут непонятный момент есть: если ты взял хэш и от боди помимо хедеров, поменял его (body) и есть иллюзия, что хэш верифицируется ? --- Оригінальне повідомлення --- Від кого: "Max Kostikov" Дата: 6 червня 2016, 11:30:05 > 1. Да. > 2. Так и надо, всё верно. > > skele...@lissyara.su писал 2016-06-06 10:11: > > 06.06.2016 10:43, Max Kostikov пишет: > >> Приветствую! > >> > >> 1. Неправильно поняли. Используется определённый набор заголовков. > >> Список рекомендованных есть в 5.4.1. RFC 6376 > >> 2. Делать это не в фильтре, а в самом транспорте. > >> > > > > 1. То есть изменённое тело письма позволяет пройти валидацию DKIM, > > если заголовки не менялись? > > 2. Так собственно это и планируется. Данная опция используется в > > транспорте. > > > > > > ___ > > Exim-users mailing list > > Exim-users@mailground.net > > http://mailground.net/mailman/listinfo/exim-users > > -- > Best regards, > Max Kostikov > > BBM: 24CA5DF8 | https://kostikov.co > > ___ > Exim-users mailing list > Exim-users@mailground.net > http://mailground.net/mailman/listinfo/exim-users ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] DKIM + transport_filter
Насколько я понимаю, DKIM работает с заголовками. Т.е. что бы вам этот хэш использовать, его нужно будет поместить в специальный заголовок и сообщить DKIM что его также нужно использовать при подписи. Но даже если вы это сделаете, то что мешает изменить тело письма после? Отправлено с моего смартфона BlackBerry 10 по сети TELE2 Исходное сообщение От: Vladimir Sharun Отправлено: понедельник, 6 июня 2016 г., 11:02 Кому: Exim MTA на русском Ответить: Exim MTA на русском Тема: Re: [Exim-users] DKIM + transport_filter Всем привет, Тут непонятный момент есть: если ты взял хэш и от боди помимо хедеров, поменял его (body) и есть иллюзия, что хэш верифицируется ? --- Оригінальне повідомлення --- Від кого: "Max Kostikov" Дата: 6 червня 2016, 11:30:05 > 1. Да. > 2. Так и надо, всё верно. > > skele...@lissyara.su писал 2016-06-06 10:11: > > 06.06.2016 10:43, Max Kostikov пишет: > >> Приветствую! > >> > >> 1. Неправильно поняли. Используется определённый набор заголовков. > >> Список рекомендованных есть в 5.4.1. RFC 6376 > >> 2. Делать это не в фильтре, а в самом транспорте. > >> > > > > 1. То есть изменённое тело письма позволяет пройти валидацию DKIM, > > если заголовки не менялись? > > 2. Так собственно это и планируется. Данная опция используется в > > транспорте. > > > > > > ___ > > Exim-users mailing list > > Exim-users@mailground.net > > http://mailground.net/mailman/listinfo/exim-users > > -- > Best regards, > Max Kostikov > > BBM: 24CA5DF8 | https://kostikov.co > > ___ > Exim-users mailing list > Exim-users@mailground.net > http://mailground.net/mailman/listinfo/exim-users ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] DKIM + transport_filter
Всем привет, 3.7 Computing the Message Hashes Both signing and verifying message signatures start with a step of computing two cryptographic hashes over the message. Signers will choose the parameters of the signature as described in Signer Actions (Section 5); verifiers will use the parameters specified in the DKIM-Signature header field being verified. In the following discussion, the names of the tags in the DKIM-Signature header field that either exists (when verifying) or will be created (when signing) are used. Note that canonicalization (Section 3.4) is only used to prepare the email for signing or verifying; it does not affect the transmitted email in any way. The signer/verifier MUST compute two hashes, one over the body of the message and one over the selected header fields of the message. Signers MUST compute them in the order shown. Verifiers MAY compute them in any order convenient to the verifier, provided that the result is semantically identical to the semantics that would be the case had they been computed in this order. In hash step 1, the signer/verifier MUST hash the message body, canonicalized using the body canonicalization algorithm specified in the "c=" tag and then truncated to the length specified in the "l=" tag. That hash value is then converted to base64 form and inserted into (signers) or compared to (verifiers) the "bh=" tag of the DKIM-Signature header field. http://dkim.org/specs/rfc4871-dkimbase.html#hashing > Насколько я понимаю, DKIM работает с заголовками. Т.е. что бы вам этот хэш > использовать, его нужно будет поместить в специальный заголовок и сообщить > DKIM что его также нужно использовать при подписи. > Но даже если вы это сделаете, то что мешает изменить тело письма после? > > Отправлено с моего смартфона BlackBerry 10 по сети TELE2 > > Исходное сообщение > От: Vladimir Sharun > Отправлено: понедельник, 6 июня 2016 г., 11:02 > Кому: Exim MTA на русском > Ответить: Exim MTA на русском > Тема: Re: [Exim-users] DKIM + transport_filter > > Всем привет, > > Тут непонятный момент есть: если ты взял хэш и от боди помимо хедеров, > поменял его (body) и есть иллюзия, что хэш верифицируется ? > > --- Оригінальне повідомлення --- > Від кого: "Max Kostikov" > Дата: 6 червня 2016, 11:30:05 > > > > 1. Да. > > 2. Так и надо, всё верно. > > > > skele...@lissyara.su писал 2016-06-06 10:11: > > > 06.06.2016 10:43, Max Kostikov пишет: > > >> Приветствую! > > >> > > >> 1. Неправильно поняли. Используется определённый набор заголовков. > > >> Список рекомендованных есть в 5.4.1. RFC 6376 > > >> 2. Делать это не в фильтре, а в самом транспорте. > > >> > > > > > > 1. То есть изменённое тело письма позволяет пройти валидацию DKIM, > > > если заголовки не менялись? > > > 2. Так собственно это и планируется. Данная опция используется в > > > транспорте. > > > > > > > > > ___ > > > Exim-users mailing list > > > Exim-users@mailground.net > > > http://mailground.net/mailman/listinfo/exim-users > > > > -- > > Best regards, > > Max Kostikov > > > > BBM: 24CA5DF8 | https://kostikov.co > > > > ___ > > Exim-users mailing list > > Exim-users@mailground.net > > http://mailground.net/mailman/listinfo/exim-users > > > > ___ > Exim-users mailing list > Exim-users@mailground.net > http://mailground.net/mailman/listinfo/exim-users > > ___ > Exim-users mailing list > Exim-users@mailground.net > http://mailground.net/mailman/listinfo/exim-users ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] DKIM + transport_filter
Хотя, стоп! Там же действительно и тело хэшируется. Тогда мне не совсем понятно как обстоят дела с листами рассылки которые часто меняют тело, например и с этим. Отправлено с моего смартфона BlackBerry 10 по сети TELE2 Исходное сообщение От: Max Kostikov Отправлено: понедельник, 6 июня 2016 г., 11:33 Кому: Vladimir Sharun Ответить: Exim MTA на русском Тема: Re: [Exim-users] DKIM + transport_filter Насколько я понимаю, DKIM работает с заголовками. Т.е. что бы вам этот хэш использовать, его нужно будет поместить в специальный заголовок и сообщить DKIM что его также нужно использовать при подписи. Но даже если вы это сделаете, то что мешает изменить тело письма после? Отправлено с моего смартфона BlackBerry 10 по сети TELE2 Исходное сообщение От: Vladimir Sharun Отправлено: понедельник, 6 июня 2016 г., 11:02 Кому: Exim MTA на русском Ответить: Exim MTA на русском Тема: Re: [Exim-users] DKIM + transport_filter Всем привет, Тут непонятный момент есть: если ты взял хэш и от боди помимо хедеров, поменял его (body) и есть иллюзия, что хэш верифицируется ? --- Оригінальне повідомлення --- Від кого: "Max Kostikov" Дата: 6 червня 2016, 11:30:05 > 1. Да. > 2. Так и надо, всё верно. > > skele...@lissyara.su писал 2016-06-06 10:11: > > 06.06.2016 10:43, Max Kostikov пишет: > >> Приветствую! > >> > >> 1. Неправильно поняли. Используется определённый набор заголовков. > >> Список рекомендованных есть в 5.4.1. RFC 6376 > >> 2. Делать это не в фильтре, а в самом транспорте. > >> > > > > 1. То есть изменённое тело письма позволяет пройти валидацию DKIM, > > если заголовки не менялись? > > 2. Так собственно это и планируется. Данная опция используется в > > транспорте. > > > > > > ___ > > Exim-users mailing list > > Exim-users@mailground.net > > http://mailground.net/mailman/listinfo/exim-users > > -- > Best regards, > Max Kostikov > > BBM: 24CA5DF8 | https://kostikov.co > > ___ > Exim-users mailing list > Exim-users@mailground.net > http://mailground.net/mailman/listinfo/exim-users ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] DKIM + transport_filter
Да-да, уже посмотрел. Спасибо. Ушёл читать, короче. Отправлено с моего смартфона BlackBerry 10 по сети TELE2 Исходное сообщение От: Vladimir Sharun Отправлено: понедельник, 6 июня 2016 г., 12:05 Кому: Exim MTA на русском Ответить: Exim MTA на русском Тема: Re: [Exim-users] DKIM + transport_filter Всем привет, 3.7 Computing the Message Hashes Both signing and verifying message signatures start with a step of computing two cryptographic hashes over the message. Signers will choose the parameters of the signature as described in Signer Actions (Section 5); verifiers will use the parameters specified in the DKIM-Signature header field being verified. In the following discussion, the names of the tags in the DKIM-Signature header field that either exists (when verifying) or will be created (when signing) are used. Note that canonicalization (Section 3.4) is only used to prepare the email for signing or verifying; it does not affect the transmitted email in any way. The signer/verifier MUST compute two hashes, one over the body of the message and one over the selected header fields of the message. Signers MUST compute them in the order shown. Verifiers MAY compute them in any order convenient to the verifier, provided that the result is semantically identical to the semantics that would be the case had they been computed in this order. In hash step 1, the signer/verifier MUST hash the message body, canonicalized using the body canonicalization algorithm specified in the "c=" tag and then truncated to the length specified in the "l=" tag. That hash value is then converted to base64 form and inserted into (signers) or compared to (verifiers) the "bh=" tag of the DKIM-Signature header field. http://dkim.org/specs/rfc4871-dkimbase.html#hashing > Насколько я понимаю, DKIM работает с заголовками. Т.е. что бы вам этот хэш > использовать, его нужно будет поместить в специальный заголовок и сообщить > DKIM что его также нужно использовать при подписи. > Но даже если вы это сделаете, то что мешает изменить тело письма после? > > Отправлено с моего смартфона BlackBerry 10 по сети TELE2 > > Исходное сообщение > От: Vladimir Sharun > Отправлено: понедельник, 6 июня 2016 г., 11:02 > Кому: Exim MTA на русском > Ответить: Exim MTA на русском > Тема: Re: [Exim-users] DKIM + transport_filter > > Всем привет, > > Тут непонятный момент есть: если ты взял хэш и от боди помимо хедеров, > поменял его (body) и есть иллюзия, что хэш верифицируется ? > > --- Оригінальне повідомлення --- > Від кого: "Max Kostikov" > Дата: 6 червня 2016, 11:30:05 > > > > 1. Да. > > 2. Так и надо, всё верно. > > > > skele...@lissyara.su писал 2016-06-06 10:11: > > > 06.06.2016 10:43, Max Kostikov пишет: > > >> Приветствую! > > >> > > >> 1. Неправильно поняли. Используется определённый набор заголовков. > > >> Список рекомендованных есть в 5.4.1. RFC 6376 > > >> 2. Делать это не в фильтре, а в самом транспорте. > > >> > > > > > > 1. То есть изменённое тело письма позволяет пройти валидацию DKIM, > > > если заголовки не менялись? > > > 2. Так собственно это и планируется. Данная опция используется в > > > транспорте. > > > > > > > > > ___ > > > Exim-users mailing list > > > Exim-users@mailground.net > > > http://mailground.net/mailman/listinfo/exim-users > > > > -- > > Best regards, > > Max Kostikov > > > > BBM: 24CA5DF8 | https://kostikov.co > > > > ___ > > Exim-users mailing list > > Exim-users@mailground.net > > http://mailground.net/mailman/listinfo/exim-users > > > > ___ > Exim-users mailing list > Exim-users@mailground.net > http://mailground.net/mailman/listinfo/exim-users > > ___ > Exim-users mailing list > Exim-users@mailground.net > http://mailground.net/mailman/listinfo/exim-users ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] DKIM + transport_filter
06.06.2016 13:04, Vladimir Sharun пишет: Всем привет, 3.7 Computing the Message Hashes Both signing and verifying message signatures start with a step of computing two cryptographic hashes over the message. Signers will choose the parameters of the signature as described in Signer Actions (Section 5); verifiers will use the parameters specified in the DKIM-Signature header field being verified. In the following discussion, the names of the tags in the DKIM-Signature header field that either exists (when verifying) or will be created (when signing) are used. Note that canonicalization (Section 3.4) is only used to prepare the email for signing or verifying; it does not affect the transmitted email in any way. The signer/verifier MUST compute two hashes, one over the body of the message and one over the selected header fields of the message. Signers MUST compute them in the order shown. Verifiers MAY compute them in any order convenient to the verifier, provided that the result is semantically identical to the semantics that would be the case had they been computed in this order. In hash step 1, the signer/verifier MUST hash the message body, canonicalized using the body canonicalization algorithm specified in the "c=" tag and then truncated to the length specified in the "l=" tag. That hash value is then converted to base64 form and inserted into (signers) or compared to (verifiers) the "bh=" tag of the DKIM-Signature header field. http://dkim.org/specs/rfc4871-dkimbase.html#hashing Спасибо. Теперь хотелось бы понять, что выполняется раньше шифрование через DKIM или transport_filter? ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] DKIM + transport_filter
Привет, Я вообще встрял по вопросу взломостойкости хэша, что реально, но не то чтобы легко :) Что раньше выполняется - для этого есть тестовые прогоны exim'а с включенным дебагом: месседж не отправляется, но кто на ком стоял - сразу видно. > Теперь хотелось бы понять, что выполняется раньше шифрование через DKIM > или transport_filter? ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] DKIM + transport_filter
Не, ну хэш то подогнать наверняка можно, тут нет сомнений. Типа получаем и сохраняем - расшифровываем - меняем тело - подгоняем хэш - отправляем дальше. Переподписывать не надо. По мэйлинг-листам почитал. Там всё неоднозначно особенно в части применения политики DMARC. Отправлено с моего смартфона BlackBerry 10 по сети TELE2 Исходное сообщение От: Vladimir Sharun Отправлено: понедельник, 6 июня 2016 г., 13:09 Кому: Exim MTA на русском Ответить: Exim MTA на русском Копия: Exim MTA на русском Тема: Re: [Exim-users] DKIM + transport_filter Привет, Я вообще встрял по вопросу взломостойкости хэша, что реально, но не то чтобы легко ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] DKIM + transport_filter
Всем привет :) > Не, ну хэш то подогнать наверняка можно, тут нет сомнений. Типа получаем и > сохраняем - расшифровываем - меняем тело - подгоняем хэш - отправляем дальше. > Переподписывать не надо. При использовании sha2 это уже существенная энергетическая и временная проблема. Редукция входящих данных не позволит сделать это (подбор) быстрым. ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] DKIM + transport_filter
On 06/06/2016 13:58, Vladimir Sharun wrote: > Всем привет :) > >> Не, ну хэш то подогнать наверняка можно, тут нет сомнений. Типа >> получаем и сохраняем - расшифровываем - меняем тело - подгоняем хэш >> - отправляем дальше. Переподписывать не надо. > > При использовании sha2 это уже существенная энергетическая и > временная проблема. Редукция входящих данных не позволит сделать это > (подбор) быстрым. К sha2 нет известных атак - это раз. К sha1 есть extending attack, но в этом случае можно использовать `l=` у dkim (за который я бы поддал смолы в тот котел, где будут сидеть авторы DKIM). Relaxed encoding позволяет некоторые манипуляции с пробелами (еще пара ведер смолы!). Все остальное, включая попытки изменить сам dkim заголовок, заранее обречено на провал - к RSA до квантового канпутера практических атак пока не существует. Другое дело, что из-за хранения ключей в DNS и упорного нежелания переходить на тот же ed25519 приходится делать максимум RSA 1024 и ротировать селекторы с достаточной частотой, что очень сложно для рядового постмастера. -- Vsevolod Stakhov ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] DKIM + transport_filter
Здравствуйте, Vsevolod. Вы писали 8 июня 2016 г., 3:12:27: > Другое дело, что из-за хранения ключей в DNS и упорного нежелания > переходить на тот же ed25519 приходится делать максимум RSA 1024 и > ротировать селекторы с достаточной частотой, что очень сложно для > рядового постмастера. я правильно понимаю, что "ротировать селекторы" как метод борьбы с подменой? А были прицеденты? -- С уважением, Alexander mailto:t...@irk.ru ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] DKIM и KAS
KAS что-то добавляет в subject? И таки после его отключения все ОК? И как он (кас) у вас подключен. Я просто на днях настраивал аналогичное, все хорошо работает. 22 февраля 2012, 11:58 от An An : > Возникла проблема при работе DKIM с Kaspersky Antispam. В конфиге такой вот > ACL: > > warn > <-->sender_domains = mail.ru:list.ru:bk.ru > <-->dkim_signers = mail.ru:list.ru:bk.ru > <-->dkim_status = none:invalid:fail > <-->logwrite = Message from MailRU with invalid or missing signature(LOG) > from $sender_address > > Когда приходит письмо: > > mail1# cat /var/log/exim/exim-main-20120222.log | grep '1S069l-000ObC-Si' > 2012-02-22 10:58:29 [94562] 1S069l-000ObC-Si DKIM: d=mail.ru s=mail > c=relaxed/relaxed a=rsa-sha256 [verification succeeded] > 2012-02-22 10:58:29 [94562] 1S069l-000ObC-Si DKIM test passed > (address=b...@mail.ru domain=mail.ru), good signature. > > Письмо передается для проверки KAS и сразу фаталити. > > mail1# cat /var/log/exim/exim-main-20120222.log | grep '1S069m-000ObJ-Eb' > 2012-02-22 10:58:30 [94569] 1S069m-000ObJ-Eb DKIM: d=mail.ru s=mail > c=relaxed/relaxed a=rsa-sha256 [verification failed - body hash mismatch > (body probably modified in transit)] > 2012-02-22 10:58:30 [94569] 1S069m-000ObJ-Eb DKIM test failed: > bodyhash_mismatch > > Причем такое наблюдается не для всех писем. Например, когда я посылаю письмо: > > mail1# cat /var/log/exim/exim-main-20120222.log | grep 'darkhost' | grep DKIM > 2012-02-22 11:29:20 [5761] 1S06dc-0001Uv-Pt DKIM test passed > (address=darkh...@mail.ru domain=mail.ru), good signature. > 2012-02-22 11:29:21 [5767] 1S06dd-0001V1-3R DKIM test passed > (address=darkh...@mail.ru domain=mail.ru), good signature. ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] DKIM и KAS
Я тогда неоч понимаю, как второй раз в том же мейлере у вас письмо попадает на проверку dkim если local_scan? P.S. и отвечайте, пожалуйста, в рассылку тоже. 24 февраля 2012, 10:57 от An An : > Вроде ничего не добавляет. KAS настроен через local_scan. И симулировать > проблему тяжело. > Отключить KAS попробую(сервер под высокой нагрузкой), отпишусь после этого. > > > KAS что-то добавляет в subject? > > И таки после его отключения все ОК? > > И как он (кас) у вас подключен. > > > > Я просто на днях настраивал аналогичное, все хорошо работает. > > > > 22 февраля 2012, 11:58 от An An : > > > Возникла проблема при работе DKIM с Kaspersky Antispam. В конфиге такой > > > вот ACL: > > > > > > warn > > > <-->sender_domains = mail.ru:list.ru:bk.ru > > > <-->dkim_signers = mail.ru:list.ru:bk.ru > > > <-->dkim_status = none:invalid:fail > > > <-->logwrite = Message from MailRU with invalid or missing > > > signature(LOG) from $sender_address > > > > > > Когда приходит письмо: > > > > > > mail1# cat /var/log/exim/exim-main-20120222.log | grep '1S069l-000ObC-Si' > > > 2012-02-22 10:58:29 [94562] 1S069l-000ObC-Si DKIM: d=mail.ru s=mail > > > c=relaxed/relaxed a=rsa-sha256 [verification succeeded] > > > 2012-02-22 10:58:29 [94562] 1S069l-000ObC-Si DKIM test passed > > > (address=b...@mail.ru domain=mail.ru), good signature. > > > > > > Письмо передается для проверки KAS и сразу фаталити. > > > > > > mail1# cat /var/log/exim/exim-main-20120222.log | grep '1S069m-000ObJ-Eb' > > > 2012-02-22 10:58:30 [94569] 1S069m-000ObJ-Eb DKIM: d=mail.ru s=mail > > > c=relaxed/relaxed a=rsa-sha256 [verification failed - body hash mismatch > > > (body probably modified in transit)] > > > 2012-02-22 10:58:30 [94569] 1S069m-000ObJ-Eb DKIM test failed: > > > bodyhash_mismatch > > > > > > Причем такое наблюдается не для всех писем. Например, когда я посылаю > > > письмо: > > > > > > mail1# cat /var/log/exim/exim-main-20120222.log | grep 'darkhost' | grep > > > DKIM > > > 2012-02-22 11:29:20 [5761] 1S06dc-0001Uv-Pt DKIM test passed > > > (address=darkh...@mail.ru domain=mail.ru), good signature. > > > 2012-02-22 11:29:21 [5767] 1S06dd-0001V1-3R DKIM test passed > > > (address=darkh...@mail.ru domain=mail.ru), good signature. > > ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] DKIM и KAS
begin local_scan kas_connect_to = unix:/usr/local/ap-mailfilter3/run/ap-process-server.socket kas_connect_timeout = 100 kas_data_timeout = 100 kas_log_level = 50 kas_on_error = reject > Я тогда неоч понимаю, как второй раз в том же мейлере у вас письмо попадает > на проверку dkim если local_scan? > > P.S. и отвечайте, пожалуйста, в рассылку тоже. > > 24 февраля 2012, 10:57 от An An : > > Вроде ничего не добавляет. KAS настроен через local_scan. И симулировать > > проблему тяжело. > > Отключить KAS попробую(сервер под высокой нагрузкой), отпишусь после этого. > > > > > KAS что-то добавляет в subject? > > > И таки после его отключения все ОК? > > > И как он (кас) у вас подключен. > > > > > > Я просто на днях настраивал аналогичное, все хорошо работает. > > > > > > 22 февраля 2012, 11:58 от An An : > > > > Возникла проблема при работе DKIM с Kaspersky Antispam. В конфиге такой > > > > вот ACL: > > > > > > > > warn > > > > <-->sender_domains = mail.ru:list.ru:bk.ru > > > > <-->dkim_signers = mail.ru:list.ru:bk.ru > > > > <-->dkim_status = none:invalid:fail > > > > <-->logwrite = Message from MailRU with invalid or missing > > > > signature(LOG) from $sender_address > > > > > > > > Когда приходит письмо: > > > > > > > > mail1# cat /var/log/exim/exim-main-20120222.log | grep > > > > '1S069l-000ObC-Si' > > > > 2012-02-22 10:58:29 [94562] 1S069l-000ObC-Si DKIM: d=mail.ru s=mail > > > > c=relaxed/relaxed a=rsa-sha256 [verification succeeded] > > > > 2012-02-22 10:58:29 [94562] 1S069l-000ObC-Si DKIM test passed > > > > (address=b...@mail.ru domain=mail.ru), good signature. > > > > > > > > Письмо передается для проверки KAS и сразу фаталити. > > > > > > > > mail1# cat /var/log/exim/exim-main-20120222.log | grep > > > > '1S069m-000ObJ-Eb' > > > > 2012-02-22 10:58:30 [94569] 1S069m-000ObJ-Eb DKIM: d=mail.ru s=mail > > > > c=relaxed/relaxed a=rsa-sha256 [verification failed - body hash > > > > mismatch (body probably modified in transit)] > > > > 2012-02-22 10:58:30 [94569] 1S069m-000ObJ-Eb DKIM test failed: > > > > bodyhash_mismatch > > > > > > > > Причем такое наблюдается не для всех писем. Например, когда я посылаю > > > > письмо: > > > > > > > > mail1# cat /var/log/exim/exim-main-20120222.log | grep 'darkhost' | > > > > grep DKIM > > > > 2012-02-22 11:29:20 [5761] 1S06dc-0001Uv-Pt DKIM test passed > > > > (address=darkh...@mail.ru domain=mail.ru), good signature. > > > > 2012-02-22 11:29:21 [5767] 1S06dd-0001V1-3R DKIM test passed > > > > (address=darkh...@mail.ru domain=mail.ru), good signature. > > > ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] DKIM и KAS
янихнепонял.jpg проверка dkim впринципе раньше local_scan, либо вы как-то инжектите письмо второй раз обратно в мейлер. 24 февраля 2012, 12:30 от An An : > begin local_scan > > kas_connect_to = unix:/usr/local/ap-mailfilter3/run/ap-process-server.socket > kas_connect_timeout = 100 > kas_data_timeout = 100 > kas_log_level = 50 > kas_on_error = reject > > > Я тогда неоч понимаю, как второй раз в том же мейлере у вас письмо попадает > > на проверку dkim если local_scan? > > > > P.S. и отвечайте, пожалуйста, в рассылку тоже. > > > > 24 февраля 2012, 10:57 от An An : > > > Вроде ничего не добавляет. KAS настроен через local_scan. И симулировать > > > проблему тяжело. > > > Отключить KAS попробую(сервер под высокой нагрузкой), отпишусь после > > > этого. > > > > > > > KAS что-то добавляет в subject? > > > > И таки после его отключения все ОК? > > > > И как он (кас) у вас подключен. > > > > > > > > Я просто на днях настраивал аналогичное, все хорошо работает. > > > > > > > > 22 февраля 2012, 11:58 от An An : > > > > > Возникла проблема при работе DKIM с Kaspersky Antispam. В конфиге > > > > > такой вот ACL: > > > > > > > > > > warn > > > > > <-->sender_domains = mail.ru:list.ru:bk.ru > > > > > <-->dkim_signers = mail.ru:list.ru:bk.ru > > > > > <-->dkim_status = none:invalid:fail > > > > > <-->logwrite = Message from MailRU with invalid or missing > > > > > signature(LOG) from $sender_address > > > > > > > > > > Когда приходит письмо: > > > > > > > > > > mail1# cat /var/log/exim/exim-main-20120222.log | grep > > > > > '1S069l-000ObC-Si' > > > > > 2012-02-22 10:58:29 [94562] 1S069l-000ObC-Si DKIM: d=mail.ru s=mail > > > > > c=relaxed/relaxed a=rsa-sha256 [verification succeeded] > > > > > 2012-02-22 10:58:29 [94562] 1S069l-000ObC-Si DKIM test passed > > > > > (address=b...@mail.ru domain=mail.ru), good signature. > > > > > > > > > > Письмо передается для проверки KAS и сразу фаталити. > > > > > > > > > > mail1# cat /var/log/exim/exim-main-20120222.log | grep > > > > > '1S069m-000ObJ-Eb' > > > > > 2012-02-22 10:58:30 [94569] 1S069m-000ObJ-Eb DKIM: d=mail.ru s=mail > > > > > c=relaxed/relaxed a=rsa-sha256 [verification failed - body hash > > > > > mismatch (body probably modified in transit)] > > > > > 2012-02-22 10:58:30 [94569] 1S069m-000ObJ-Eb DKIM test failed: > > > > > bodyhash_mismatch > > > > > > > > > > Причем такое наблюдается не для всех писем. Например, когда я посылаю > > > > > письмо: > > > > > > > > > > mail1# cat /var/log/exim/exim-main-20120222.log | grep 'darkhost' | > > > > > grep DKIM > > > > > 2012-02-22 11:29:20 [5761] 1S06dc-0001Uv-Pt DKIM test passed > > > > > (address=darkh...@mail.ru domain=mail.ru), good signature. > > > > > 2012-02-22 11:29:21 [5767] 1S06dd-0001V1-3R DKIM test passed > > > > > (address=darkh...@mail.ru domain=mail.ru), good signature. > > > > > ___ > Exim-users mailing list > Exim-users@mailground.net > http://mailground.net/mailman/listinfo/exim-users > > ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] DKIM и KAS
Так и не удалось мне решить проблему с [verification failed - body hash mismatch (body probably modified in transit)]. Судя по всему, письмо передается на проверку антивирусу, а возвращаясь обратно, второй раз проходит DKIM проверку. Больше нигде в конфиге не может письмо инжектиться. Признаться, я уже и сам запутался. Выкладываю два лога для одного и того же письма. Письмо прошло один раз проверку: http://so-please-do-not-ask-me-why-some-people-want-to-be-braindamaged.ru/mail1.html И еще раз, последний: http://so-please-do-not-ask-me-why-some-people-want-to-be-braindamaged.ru/mail2.html > > проверка dkim впринципе раньше local_scan, либо вы как-то инжектите письмо > второй раз обратно в мейлер. > > 24 февраля 2012, 12:30 от An An : > > begin local_scan > > > > kas_connect_to = unix:/usr/local/ap-mailfilter3/run/ap-process-server.socket > > kas_connect_timeout = 100 > > kas_data_timeout = 100 > > kas_log_level = 50 > > kas_on_error = reject > > > > > Я тогда неоч понимаю, как второй раз в том же мейлере у вас письмо > > > попадает на проверку dkim если local_scan? > > > > > > P.S. и отвечайте, пожалуйста, в рассылку тоже. > > > > > > 24 февраля 2012, 10:57 от An An : > > > > Вроде ничего не добавляет. KAS настроен через local_scan. И > > > > симулировать проблему тяжело. > > > > Отключить KAS попробую(сервер под высокой нагрузкой), отпишусь после > > > > этого. > > > > > > > > > KAS что-то добавляет в subject? > > > > > И таки после его отключения все ОК? > > > > > И как он (кас) у вас подключен. > > > > > > > > > > Я просто на днях настраивал аналогичное, все хорошо работает. > > > > > > > > > > 22 февраля 2012, 11:58 от An An : > > > > > > Возникла проблема при работе DKIM с Kaspersky Antispam. В конфиге > > > > > > такой вот ACL: > > > > > > > > > > > > warn > > > > > > <-->sender_domains = mail.ru:list.ru:bk.ru > > > > > > <-->dkim_signers = mail.ru:list.ru:bk.ru > > > > > > <-->dkim_status = none:invalid:fail > > > > > > <-->logwrite = Message from MailRU with invalid or missing > > > > > > signature(LOG) from $sender_address > > > > > > > > > > > > Когда приходит письмо: > > > > > > > > > > > > mail1# cat /var/log/exim/exim-main-20120222.log | grep > > > > > > '1S069l-000ObC-Si' > > > > > > 2012-02-22 10:58:29 [94562] 1S069l-000ObC-Si DKIM: d=mail.ru s=mail > > > > > > c=relaxed/relaxed a=rsa-sha256 [verification succeeded] > > > > > > 2012-02-22 10:58:29 [94562] 1S069l-000ObC-Si DKIM test passed > > > > > > (address=b...@mail.ru domain=mail.ru), good signature. > > > > > > > > > > > > Письмо передается для проверки KAS и сразу фаталити. > > > > > > > > > > > > mail1# cat /var/log/exim/exim-main-20120222.log | grep > > > > > > '1S069m-000ObJ-Eb' > > > > > > 2012-02-22 10:58:30 [94569] 1S069m-000ObJ-Eb DKIM: d=mail.ru s=mail > > > > > > c=relaxed/relaxed a=rsa-sha256 [verification failed - body hash > > > > > > mismatch (body probably modified in transit)] > > > > > > 2012-02-22 10:58:30 [94569] 1S069m-000ObJ-Eb DKIM test failed: > > > > > > bodyhash_mismatch > > > > > > > > > > > > Причем такое наблюдается не для всех писем. Например, когда я > > > > > > посылаю письмо: > > > > > > > > > > > > mail1# cat /var/log/exim/exim-main-20120222.log | grep 'darkhost' | > > > > > > grep DKIM > > > > > > 2012-02-22 11:29:20 [5761] 1S06dc-0001Uv-Pt DKIM test passed > > > > > > (address=darkh...@mail.ru domain=mail.ru), good signature. > > > > > > 2012-02-22 11:29:21 [5767] 1S06dd-0001V1-3R DKIM test passed > > > > > > (address=darkh...@mail.ru domain=mail.ru), good signature. > > > > > > > ___ > > Exim-users mailing list > > Exim-users@mailground.net > > http://mailground.net/mailman/listinfo/exim-users > > > > ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] DKIM и KAS
ДНС на том домене мертв mail# dig so-please-do-not-ask-me-why-some-people-want-to-be-braindamaged.ru ; <<>> DiG 9.6.-ESV-R3 <<>> so-please-do-not-ask-me-why-some-people-want-to-be-braindamaged.ru ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 39947 ;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0 Wed, 28 Mar 2012 13:25:18 +0400 от An An : > Так и не удалось мне решить проблему с [verification failed - body hash > mismatch (body probably modified in transit)]. > Судя по всему, письмо передается на проверку антивирусу, а возвращаясь > обратно, второй раз проходит DKIM проверку. Больше нигде в конфиге не может > письмо инжектиться. Признаться, я уже и сам запутался. Выкладываю два лога > для одного и того же письма. > > Письмо прошло один раз проверку: > http://so-please-do-not-ask-me-why-some-people-want-to-be-braindamaged.ru/mail1.html > И еще раз, последний: > http://so-please-do-not-ask-me-why-some-people-want-to-be-braindamaged.ru/mail2.html > > > > > > > > > > проверка dkim впринципе раньше local_scan, либо вы как-то инжектите письмо > > второй раз обратно в мейлер. > > > > 24 февраля 2012, 12:30 от An An : > > > begin local_scan > > > > > > kas_connect_to = > > > unix:/usr/local/ap-mailfilter3/run/ap-process-server.socket > > > kas_connect_timeout = 100 > > > kas_data_timeout = 100 > > > kas_log_level = 50 > > > kas_on_error = reject > > > > > > > Я тогда неоч понимаю, как второй раз в том же мейлере у вас письмо > > > > попадает на проверку dkim если local_scan? > > > > > > > > P.S. и отвечайте, пожалуйста, в рассылку тоже. > > > > > > > > 24 февраля 2012, 10:57 от An An : > > > > > Вроде ничего не добавляет. KAS настроен через local_scan. И > > > > > симулировать проблему тяжело. > > > > > Отключить KAS попробую(сервер под высокой нагрузкой), отпишусь после > > > > > этого. > > > > > > > > > > > KAS что-то добавляет в subject? > > > > > > И таки после его отключения все ОК? > > > > > > И как он (кас) у вас подключен. > > > > > > > > > > > > Я просто на днях настраивал аналогичное, все хорошо работает. > > > > > > > > > > > > 22 февраля 2012, 11:58 от An An : > > > > > > > Возникла проблема при работе DKIM с Kaspersky Antispam. В конфиге > > > > > > > такой вот ACL: > > > > > > > > > > > > > > warn > > > > > > > <-->sender_domains = mail.ru:list.ru:bk.ru > > > > > > > <-->dkim_signers = mail.ru:list.ru:bk.ru > > > > > > > <-->dkim_status = none:invalid:fail > > > > > > > <-->logwrite = Message from MailRU with invalid or missing > > > > > > > signature(LOG) from $sender_address > > > > > > > > > > > > > > Когда приходит письмо: > > > > > > > > > > > > > > mail1# cat /var/log/exim/exim-main-20120222.log | grep > > > > > > > '1S069l-000ObC-Si' > > > > > > > 2012-02-22 10:58:29 [94562] 1S069l-000ObC-Si DKIM: d=mail.ru > > > > > > > s=mail c=relaxed/relaxed a=rsa-sha256 [verification succeeded] > > > > > > > 2012-02-22 10:58:29 [94562] 1S069l-000ObC-Si DKIM test passed > > > > > > > (address=b...@mail.ru domain=mail.ru), good signature. > > > > > > > > > > > > > > Письмо передается для проверки KAS и сразу фаталити. > > > > > > > > > > > > > > mail1# cat /var/log/exim/exim-main-20120222.log | grep > > > > > > > '1S069m-000ObJ-Eb' > > > > > > > 2012-02-22 10:58:30 [94569] 1S069m-000ObJ-Eb DKIM: d=mail.ru > > > > > > > s=mail c=relaxed/relaxed a=rsa-sha256 [verification failed - body > > > > > > > hash mismatch (body probably modified in transit)] > > > > > > > 2012-02-22 10:58:30 [94569] 1S069m-000ObJ-Eb DKIM test failed: > > > > > > > bodyhash_mismatch > > > > > > > > > > > > > > Причем такое наблюдается не для всех писем. Например, когда я > > > > > > > посылаю письмо: > > > > > > > > > > > > > > mail1# cat /var/log/exim/exim-main-20120222.log | grep 'darkhost' > > > > > > > | grep DKIM > > > > > > > 2012-02-22 11:29:20 [5761] 1S06dc-0001Uv-Pt DKIM test passed > > > > > > > (address=darkh...@mail.ru domain=mail.ru), good signature. > > > > > > > 2012-02-22 11:29:21 [5767] 1S06dd-0001V1-3R DKIM test passed > > > > > > > (address=darkh...@mail.ru domain=mail.ru), good signature. > > > > > > > > > ___ > > > Exim-users mailing list > > > Exim-users@mailground.net > > > http://mailground.net/mailman/listinfo/exim-users > > > > > > > ___ > Exim-users mailing list > Exim-users@mailground.net > http://mailground.net/mailman/listinfo/exim-users > > ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] DKIM и KAS
Да, прошу прощения. Ссылки: http://pac.ru/mail1.html и http://pac.ru/mail2.html Выяснилось, что ошибка "[verification failed - body hash mismatch (body probably modified in transit)]" возникает безотносительно к ACL. Я полностью закомментировал DKIM ACL, и, насколько я понял, ситуация такова, что Exim видит DKIM сигнатуры в письме и на некоторые письма ругается. Заголовки двух писем(с ошибкой и без) в почтовом клиенте выглядят абсолютно одинаково, ничего лишнего или недостающего. > ДНС на том домене мертв > > > mail# dig so-please-do-not-ask-me-why-some-people-want-to-be-braindamaged.ru > > ; <<>> DiG 9.6.-ESV-R3 <<>> > so-please-do-not-ask-me-why-some-people-want-to-be-braindamaged.ru > ;; global options: +cmd > ;; Got answer: > ;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 39947 > ;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0 > > > > Wed, 28 Mar 2012 13:25:18 +0400 от An An : > > Так и не удалось мне решить проблему с [verification failed - body hash > > mismatch (body probably modified in transit)]. > > Судя по всему, письмо передается на проверку антивирусу, а возвращаясь > > обратно, второй раз проходит DKIM проверку. Больше нигде в конфиге не может > > письмо инжектиться. Признаться, я уже и сам запутался. Выкладываю два лога > > для одного и того же письма. > > > > Письмо прошло один раз проверку: > > http://so-please-do-not-ask-me-why-some-people-want-to-be-braindamaged.ru/mail1.html > > И еще раз, последний: > > http://so-please-do-not-ask-me-why-some-people-want-to-be-braindamaged.ru/mail2.html > > > > > > > > > > > > > > > > > > проверка dkim впринципе раньше local_scan, либо вы как-то инжектите > > > письмо второй раз обратно в мейлер. > > > > > > 24 февраля 2012, 12:30 от An An : > > > > begin local_scan > > > > > > > > kas_connect_to = > > > > unix:/usr/local/ap-mailfilter3/run/ap-process-server.socket > > > > kas_connect_timeout = 100 > > > > kas_data_timeout = 100 > > > > kas_log_level = 50 > > > > kas_on_error = reject > > > > > > > > > Я тогда неоч понимаю, как второй раз в том же мейлере у вас письмо > > > > > попадает на проверку dkim если local_scan? > > > > > > > > > > P.S. и отвечайте, пожалуйста, в рассылку тоже. > > > > > > > > > > 24 февраля 2012, 10:57 от An An : > > > > > > Вроде ничего не добавляет. KAS настроен через local_scan. И > > > > > > симулировать проблему тяжело. > > > > > > Отключить KAS попробую(сервер под высокой нагрузкой), отпишусь > > > > > > после этого. > > > > > > > > > > > > > KAS что-то добавляет в subject? > > > > > > > И таки после его отключения все ОК? > > > > > > > И как он (кас) у вас подключен. > > > > > > > > > > > > > > Я просто на днях настраивал аналогичное, все хорошо работает. > > > > > > > > > > > > > > 22 февраля 2012, 11:58 от An An : > > > > > > > > Возникла проблема при работе DKIM с Kaspersky Antispam. В > > > > > > > > конфиге такой вот ACL: > > > > > > > > > > > > > > > > warn > > > > > > > > <-->sender_domains = mail.ru:list.ru:bk.ru > > > > > > > > <-->dkim_signers = mail.ru:list.ru:bk.ru > > > > > > > > <-->dkim_status = none:invalid:fail > > > > > > > > <-->logwrite = Message from MailRU with invalid or missing > > > > > > > > signature(LOG) from $sender_address > > > > > > > > > > > > > > > > Когда приходит письмо: > > > > > > > > > > > > > > > > mail1# cat /var/log/exim/exim-main-20120222.log | grep > > > > > > > > '1S069l-000ObC-Si' > > > > > > > > 2012-02-22 10:58:29 [94562] 1S069l-000ObC-Si DKIM: d=mail.ru > > > > > > > > s=mail c=relaxed/relaxed a=rsa-sha256 [verification succeeded] > > > > > > > > 2012-02-22 10:58:29 [94562] 1S069l-000ObC-Si DKIM test passed > > > > > > > > (address=b...@mail.ru domain=mail.ru), good signature. > > > > > > > > > > > > > > > > Письмо передается для проверки KAS и сразу фаталити. > > > > > > > > > > > > > > > > mail1# cat /var/log/exim/exim-main-20120222.log | grep > > > > > > > > '1S069m-000ObJ-Eb' > > > > > > > > 2012-02-22 10:58:30 [94569] 1S069m-000ObJ-Eb DKIM: d=mail.ru > > > > > > > > s=mail c=relaxed/relaxed a=rsa-sha256 [verification failed - > > > > > > > > body hash mismatch (body probably modified in transit)] > > > > > > > > 2012-02-22 10:58:30 [94569] 1S069m-000ObJ-Eb DKIM test failed: > > > > > > > > bodyhash_mismatch > > > > > > > > > > > > > > > > Причем такое наблюдается не для всех писем. Например, когда я > > > > > > > > посылаю письмо: > > > > > > > > > > > > > > > > mail1# cat /var/log/exim/exim-main-20120222.log | grep > > > > > > > > 'darkhost' | grep DKIM > > > > > > > > 2012-02-22 11:29:20 [5761] 1S06dc-0001Uv-Pt DKIM test passed > > > > > > > > (address=darkh...@mail.ru domain=mail.ru), good signature. > > > > > > > > 2012-02-22 11:29:21 [5767] 1S06dd-0001V1-3R DKIM test passed > > > > > > > > (address=darkh...@mail.ru domain=mail.ru), good signature. > > > > > > > > > > > ___ > > > > Exim-users mailing list > > > > Exim-users@mail
Re: [Exim-users] DKIM и KAS
diff `hd mail1` `hd mail2` дает какие-либо различия? (либо hexdump, в разных системах оно по-разному зовется). кто-то из контент сканеров, либо сам экзим может фиксить переводы строк. а антивирус кто и как подключен? я бы в любом случае пошел путем отключения поочереди всех контент сканеров Wed, 28 Mar 2012 16:25:23 +0400 от An An : > Да, прошу прощения. Ссылки: http://pac.ru/mail1.html и > http://pac.ru/mail2.html > > Выяснилось, что ошибка "[verification failed - body hash mismatch (body > probably modified in transit)]" возникает безотносительно к ACL. Я полностью > закомментировал DKIM ACL, и, насколько я понял, ситуация такова, что Exim > видит DKIM сигнатуры в письме и на некоторые письма ругается. > > Заголовки двух писем(с ошибкой и без) в почтовом клиенте выглядят абсолютно > одинаково, ничего лишнего или недостающего. > > > > ДНС на том домене мертв > > > > > > mail# dig so-please-do-not-ask-me-why-some-people-want-to-be-braindamaged.ru > > > > ; <<>> DiG 9.6.-ESV-R3 <<>> > > so-please-do-not-ask-me-why-some-people-want-to-be-braindamaged.ru > > ;; global options: +cmd > > ;; Got answer: > > ;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 39947 > > ;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0 > > > > > > > > Wed, 28 Mar 2012 13:25:18 +0400 от An An : > > > Так и не удалось мне решить проблему с [verification failed - body hash > > > mismatch (body probably modified in transit)]. > > > Судя по всему, письмо передается на проверку антивирусу, а возвращаясь > > > обратно, второй раз проходит DKIM проверку. Больше нигде в конфиге не > > > может письмо инжектиться. Признаться, я уже и сам запутался. Выкладываю > > > два лога для одного и того же письма. > > > > > > Письмо прошло один раз проверку: > > > http://so-please-do-not-ask-me-why-some-people-want-to-be-braindamaged.ru/mail1.html > > > И еще раз, последний: > > > http://so-please-do-not-ask-me-why-some-people-want-to-be-braindamaged.ru/mail2.html > > > > > > > > > > > > > > > > > > > > > > > > > > проверка dkim впринципе раньше local_scan, либо вы как-то инжектите > > > > письмо второй раз обратно в мейлер. > > > > > > > > 24 февраля 2012, 12:30 от An An : > > > > > begin local_scan > > > > > > > > > > kas_connect_to = > > > > > unix:/usr/local/ap-mailfilter3/run/ap-process-server.socket > > > > > kas_connect_timeout = 100 > > > > > kas_data_timeout = 100 > > > > > kas_log_level = 50 > > > > > kas_on_error = reject > > > > > > > > > > > Я тогда неоч понимаю, как второй раз в том же мейлере у вас письмо > > > > > > попадает на проверку dkim если local_scan? > > > > > > > > > > > > P.S. и отвечайте, пожалуйста, в рассылку тоже. > > > > > > > > > > > > 24 февраля 2012, 10:57 от An An : > > > > > > > Вроде ничего не добавляет. KAS настроен через local_scan. И > > > > > > > симулировать проблему тяжело. > > > > > > > Отключить KAS попробую(сервер под высокой нагрузкой), отпишусь > > > > > > > после этого. > > > > > > > > > > > > > > > KAS что-то добавляет в subject? > > > > > > > > И таки после его отключения все ОК? > > > > > > > > И как он (кас) у вас подключен. > > > > > > > > > > > > > > > > Я просто на днях настраивал аналогичное, все хорошо работает. > > > > > > > > > > > > > > > > 22 февраля 2012, 11:58 от An An : > > > > > > > > > Возникла проблема при работе DKIM с Kaspersky Antispam. В > > > > > > > > > конфиге такой вот ACL: > > > > > > > > > > > > > > > > > > warn > > > > > > > > > <-->sender_domains = mail.ru:list.ru:bk.ru > > > > > > > > > <-->dkim_signers = mail.ru:list.ru:bk.ru > > > > > > > > > <-->dkim_status = none:invalid:fail > > > > > > > > > <-->logwrite = Message from MailRU with invalid or > > > > > > > > > missing signature(LOG) from $sender_address > > > > > > > > > > > > > > > > > > Когда приходит письмо: > > > > > > > > > > > > > > > > > > mail1# cat /var/log/exim/exim-main-20120222.log | grep > > > > > > > > > '1S069l-000ObC-Si' > > > > > > > > > 2012-02-22 10:58:29 [94562] 1S069l-000ObC-Si DKIM: d=mail.ru > > > > > > > > > s=mail c=relaxed/relaxed a=rsa-sha256 [verification succeeded] > > > > > > > > > 2012-02-22 10:58:29 [94562] 1S069l-000ObC-Si DKIM test passed > > > > > > > > > (address=b...@mail.ru domain=mail.ru), good signature. > > > > > > > > > > > > > > > > > > Письмо передается для проверки KAS и сразу фаталити. > > > > > > > > > > > > > > > > > > mail1# cat /var/log/exim/exim-main-20120222.log | grep > > > > > > > > > '1S069m-000ObJ-Eb' > > > > > > > > > 2012-02-22 10:58:30 [94569] 1S069m-000ObJ-Eb DKIM: d=mail.ru > > > > > > > > > s=mail c=relaxed/relaxed a=rsa-sha256 [verification failed - > > > > > > > > > body hash mismatch (body probably modified in transit)] > > > > > > > > > 2012-02-22 10:58:30 [94569] 1S069m-000ObJ-Eb DKIM test > > > > > > > > > failed: bodyhash_mismatch > > > > > > > > > > > > > > > > > > Причем такое наблюдается не для всех писем. Например, когда я > > > > > > > > > посылаю письмо: >
Re: [Exim-users] DKIM и KAS
Антивирус подключен как post-queue:
#kav4lms-filter-begin-2
kav4lms_filter:
<-->driver = manualroute
<-->condition = "${if or { {eq {$interface_port}{10026}} {eq
{$received_protocol}{spam-scanned}} }{0}{1}}"
<-->transport = kav4lms_filter
<-->route_list = "* localhost"
<-->self = send
#kav4lms-filter-end-2
Отключил антивирус, перестало сообщение дважды проходить через Exim, и "body
hash mismatch" изчезло. Правда я сэмулировать эту ошибку никак не могу, даже
если посылаю с личного ящика письмо с вложением.
Wed, 28 Mar 2012 18:46:37 +0400 от dawnshade :
> diff `hd mail1` `hd mail2`
>
> дает какие-либо различия? (либо hexdump, в разных системах оно по-разному
> зовется). кто-то из контент сканеров, либо сам экзим может фиксить переводы
> строк.
> а антивирус кто и как подключен?
> я бы в любом случае пошел путем отключения поочереди всех контент сканеров
>
>
>
> Wed, 28 Mar 2012 16:25:23 +0400 от An An :
> > Да, прошу прощения. Ссыhttp://e.mail.ru/cgi-bin/msglist#лки:
> > http://pac.ru/mail1.html и http://pac.ru/mail2.html
> >
> > Выяснилось, что ошибка "[verification failed - body hash mismatch (body
> > probably modified in transit)]" возникает безотносительно к ACL. Я
> > полностью закомментировал DKIM ACL, и, насколько я понял, ситуация такова,
> > что Exim видит DKIM сигнатуры в письме и на некоторые письма ругается.
> >
> > Заголовки двух писем(с ошибкой и без) в почтовом клиенте выглядят абсолютно
> > одинаково, ничего лишнего или недостающего.
> >
> >
> > > ДНС на том домене мертв
> > >
> > >
> > > mail# dig
> > > so-please-do-not-ask-me-why-some-people-want-to-be-braindamaged.ru
> > >
> > > ; <<>> DiG 9.6.-ESV-R3 <<>>
> > > so-please-do-not-ask-me-why-some-people-want-to-be-braindamaged.ru
> > > ;; global options: +cmd
> > > ;; Got answer:
> > > ;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 39947
> > > ;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0
> > >
> > >
> > >
> > > Wed, 28 Mar 2012 13:25:18 +0400 от An An :
> > > > Так и не удалось мне решить проблему с [verification failed - body hash
> > > > mismatch (body probably modified in transit)].
> > > > Судя по всему, письмо передается на проверку антивирусу, а возвращаясь
> > > > обратно, второй раз проходит DKIM проверку. Больше нигде в конфиге не
> > > > может письмо инжектиться. Признаться, я уже и сам запутался. Выкладываю
> > > > два лога для одного и того же письма.
> > > >
> > > > Письмо прошло один раз проверку:
> > > > http://so-please-do-not-ask-me-why-some-people-want-to-be-braindamaged.ru/mail1.html
> > > > И еще раз, последний:
> > > > http://so-please-do-not-ask-me-why-some-people-want-to-be-braindamaged.ru/mail2.html
> > > >
> > > >
> > > >
> > > >
> > > >
> > > >
> > > > >
> > > > > проверка dkim впринципе раньше local_scan, либо вы как-то инжектите
> > > > > письмо второй раз обратно в мейлер.
> > > > >
> > > > > 24 февраля 2012, 12:30 от An An :
> > > > > > begin local_scan
> > > > > >
> > > > > > kas_connect_to =
> > > > > > unix:/usr/local/ap-mailfilter3/run/ap-process-server.socket
> > > > > > kas_connect_timeout = 100
> > > > > > kas_data_timeout = 100
> > > > > > kas_log_level = 50
> > > > > > kas_on_error = reject
> > > > > >
> > > > > > > Я тогда неоч понимаю, как второй раз в том же мейлере у вас
> > > > > > > письмо попадает на проверку dkim если local_scan?
> > > > > > >
> > > > > > > P.S. и отвечайте, пожалуйста, в рассылку тоже.
> > > > > > >
> > > > > > > 24 февраля 2012, 10:57 от An An :
> > > > > > > > Вроде ничего не добавляет. KAS настроен через local_scan. И
> > > > > > > > симулировать проблему тяжело.
> > > > > > > > Отключить KAS попробую(сервер под высокой нагрузкой), отпишусь
> > > > > > > > после этого.
> > > > > > > >
> > > > > > > > > KAS что-то добавляет в subject?
> > > > > > > > > И таки после его отключения все ОК?
> > > > > > > > > И как он (кас) у вас подключен.
> > > > > > > > >
> > > > > > > > > Я просто на днях настраивал аналогичное, все хорошо работает.
> > > > > > > > >
> > > > > > > > > 22 февраля 2012, 11:58 от An An :
> > > > > > > > > > Возникла проблема при работе DKIM с Kaspersky Antispam. В
> > > > > > > > > > конфиге такой вот ACL:
> > > > > > > > > >
> > > > > > > > > > warn
> > > > > > > > > > <-->sender_domains = mail.ru:list.ru:bk.ru
> > > > > > > > > > <-->dkim_signers = mail.ru:list.ru:bk.ru
> > > > > > > > > > <-->dkim_status = none:invalid:fail
> > > > > > > > > > <-->logwrite = Message from MailRU with invalid or
> > > > > > > > > > missing signature(LOG) from $sender_address
> > > > > > > > > >
> > > > > > > > > > Когда приходит письмо:
> > > > > > > > > >
> > > > > > > > > > mail1# cat /var/log/exim/exim-main-20120222.log | grep
> > > > > > > > > > '1S069l-000ObC-Si'
> > > > > > > > > > 2012-02-22 10:58:29 [94562] 1S069l-000ObC-Si DKIM:
> > > > > > > > > > d=mail.ru s=mail c=relaxed/relaxed a=rsa-sha256
> > > > > > > > > > [verification succeeded]
> > > >
Re: [Exim-users] DKIM и KAS
выкиньте вы эту дрянь, post-q фильтр г-но по определению.
есть замечательный dlfunc, как штатный так и не менее известного здесь автора.
ну и напоследок - dkim еще более мертворожденная вещь, чем SPF, практического
применения мало, тем более что интегрирован он в exim настолько через жо с
применением копепасты сорцов малоизвестного науке "полярного пушного SSL", код
которого не обновлялся в ветке экзима несмотря на присланный патч в багзиллу
б-г знает сколько лет.
Thu, 29 Mar 2012 13:16:39 +0400 от An An :
> Антивирус подключен как post-queue:
>
> #kav4lms-filter-begin-2
> kav4lms_filter:
> <-->driver = manualroute
> <-->condition = "${if or { {eq {$interface_port}{10026}} {eq
> {$received_protocol}{spam-scanned}} }{0}{1}}"
> <-->transport = kav4lms_filter
> <-->route_list = "* localhost"
> <-->self = send
> #kav4lms-filter-end-2
>
> Отключил антивирус, перестало сообщение дважды проходить через Exim, и "body
> hash mismatch" изчезло. Правда я сэмулировать эту ошибку никак не могу, даже
> если посылаю с личного ящика письмо с вложением.
>
>
> Wed, 28 Mar 2012 18:46:37 +0400 от dawnshade :
> > diff `hd mail1` `hd mail2`
> >
> > дает какие-либо различия? (либо hexdump, в разных системах оно по-разному
> > зовется). кто-то из контент сканеров, либо сам экзим может фиксить переводы
> > строк.
> > а антивирус кто и как подключен?
> > я бы в любом случае пошел путем отключения поочереди всех контент сканеров
> >
> >
> >
> > Wed, 28 Mar 2012 16:25:23 +0400 от An An :
> > > Да, прошу прощения. Ссыhttp://e.mail.ru/cgi-bin/msglist#лки:
> > > http://pac.ru/mail1.html и http://pac.ru/mail2.html
> > >
> > > Выяснилось, что ошибка "[verification failed - body hash mismatch (body
> > > probably modified in transit)]" возникает безотносительно к ACL. Я
> > > полностью закомментировал DKIM ACL, и, насколько я понял, ситуация
> > > такова, что Exim видит DKIM сигнатуры в письме и на некоторые письма
> > > ругается.
> > >
> > > Заголовки двух писем(с ошибкой и без) в почтовом клиенте выглядят
> > > абсолютно одинаково, ничего лишнего или недостающего.
> > >
> > >
> > > > ДНС на том домене мертв
> > > >
> > > >
> > > > mail# dig
> > > > so-please-do-not-ask-me-why-some-people-want-to-be-braindamaged.ru
> > > >
> > > > ; <<>> DiG 9.6.-ESV-R3 <<>>
> > > > so-please-do-not-ask-me-why-some-people-want-to-be-braindamaged.ru
> > > > ;; global options: +cmd
> > > > ;; Got answer:
> > > > ;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 39947
> > > > ;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0
> > > >
> > > >
> > > >
> > > > Wed, 28 Mar 2012 13:25:18 +0400 от An An :
> > > > > Так и не удалось мне решить проблему с [verification failed - body
> > > > > hash mismatch (body probably modified in transit)].
> > > > > Судя по всему, письмо передается на проверку антивирусу, а
> > > > > возвращаясь обратно, второй раз проходит DKIM проверку. Больше нигде
> > > > > в конфиге не может письмо инжектиться. Признаться, я уже и сам
> > > > > запутался. Выкладываю два лога для одного и того же письма.
> > > > >
> > > > > Письмо прошло один раз проверку:
> > > > > http://so-please-do-not-ask-me-why-some-people-want-to-be-braindamaged.ru/mail1.html
> > > > > И еще раз, последний:
> > > > > http://so-please-do-not-ask-me-why-some-people-want-to-be-braindamaged.ru/mail2.html
> > > > >
> > > > >
> > > > >
> > > > >
> > > > >
> > > > >
> > > > > >
> > > > > > проверка dkim впринципе раньше local_scan, либо вы как-то инжектите
> > > > > > письмо второй раз обратно в мейлер.
> > > > > >
> > > > > > 24 февраля 2012, 12:30 от An An :
> > > > > > > begin local_scan
> > > > > > >
> > > > > > > kas_connect_to =
> > > > > > > unix:/usr/local/ap-mailfilter3/run/ap-process-server.socket
> > > > > > > kas_connect_timeout = 100
> > > > > > > kas_data_timeout = 100
> > > > > > > kas_log_level = 50
> > > > > > > kas_on_error = reject
> > > > > > >
> > > > > > > > Я тогда неоч понимаю, как второй раз в том же мейлере у вас
> > > > > > > > письмо попадает на проверку dkim если local_scan?
> > > > > > > >
> > > > > > > > P.S. и отвечайте, пожалуйста, в рассылку тоже.
> > > > > > > >
> > > > > > > > 24 февраля 2012, 10:57 от An An :
> > > > > > > > > Вроде ничего не добавляет. KAS настроен через local_scan. И
> > > > > > > > > симулировать проблему тяжело.
> > > > > > > > > Отключить KAS попробую(сервер под высокой нагрузкой),
> > > > > > > > > отпишусь после этого.
> > > > > > > > >
> > > > > > > > > > KAS что-то добавляет в subject?
> > > > > > > > > > И таки после его отключения все ОК?
> > > > > > > > > > И как он (кас) у вас подключен.
> > > > > > > > > >
> > > > > > > > > > Я просто на днях настраивал аналогичное, все хорошо
> > > > > > > > > > работает.
> > > > > > > > > >
> > > > > > > > > > 22 февраля 2012, 11:58 от An An :
> > > > > > > > > > > Возникла проблема при работе DKIM с Kaspersky Antispam. В
> > > > > > > > > > > конфиге такой вот ACL:
> > >
Re: [Exim-users] DKIM и KAS
Ну, с pre-queue тоже не все так просто:
dlopen "/usr/local/lib/kaspersky/kav4lms/libkavexim.so" failed:
/usr/local/lib/kaspersky/kav4lms/libkavexim.so: unsupported file layout
То есть опять в руки напильник брать с паяльником. В любом случае, спасибо за
совет, буду ковырять.
> выкиньте вы эту дрянь, post-q фильтр г-но по определению.
> есть замечательный dlfunc, как штатный так и не менее известного здесь автора.
>
> ну и напоследок - dkim еще более мертворожденная вещь, чем SPF, практического
> применения мало, тем более что интегрирован он в exim настолько через жо с
> применением копепасты сорцов малоизвестного науке "полярного пушного SSL",
> код которого не обновлялся в ветке экзима несмотря на присланный патч в
> багзиллу б-г знает сколько лет.
>
>
> Thu, 29 Mar 2012 13:16:39 +0400 от An An :
> > Антивирус подключен как post-queue:
> >
> > #kav4lms-filter-begin-2
> > kav4lms_filter:
> > <-->driver = manualroute
> > <-->condition = "${if or { {eq {$interface_port}{10026}} {eq
> > {$received_protocol}{spam-scanned}} }{0}{1}}"
> > <-->transport = kav4lms_filter
> > <-->route_list = "* localhost"
> > <-->self = send
> > #kav4lms-filter-end-2
> >
> > Отключил антивирус, перестало сообщение дважды проходить через Exim, и
> > "body hash mismatch" изчезло. Правда я сэмулировать эту ошибку никак не
> > могу, даже если посылаю с личного ящика письмо с вложением.
> >
> >
> > Wed, 28 Mar 2012 18:46:37 +0400 от dawnshade :
> > > diff `hd mail1` `hd mail2`
> > >
> > > дает какие-либо различия? (либо hexdump, в разных системах оно по-разному
> > > зовется). кто-то из контент сканеров, либо сам экзим может фиксить
> > > переводы строк.
> > > а антивирус кто и как подключен?
> > > я бы в любом случае пошел путем отключения поочереди всех контент сканеров
> > >
> > >
> > >
> > > Wed, 28 Mar 2012 16:25:23 +0400 от An An :
> > > > Да, прошу прощения. Ссыhttp://e.mail.ru/cgi-bin/msglist#лки:
> > > > http://pac.ru/mail1.html и http://pac.ru/mail2.html
> > > >
> > > > Выяснилось, что ошибка "[verification failed - body hash mismatch (body
> > > > probably modified in transit)]" возникает безотносительно к ACL. Я
> > > > полностью закомментировал DKIM ACL, и, насколько я понял, ситуация
> > > > такова, что Exim видит DKIM сигнатуры в письме и на некоторые письма
> > > > ругается.
> > > >
> > > > Заголовки двух писем(с ошибкой и без) в почтовом клиенте выглядят
> > > > абсолютно одинаково, ничего лишнего или недостающего.
> > > >
> > > >
> > > > > ДНС на том домене мертв
> > > > >
> > > > >
> > > > > mail# dig
> > > > > so-please-do-not-ask-me-why-some-people-want-to-be-braindamaged.ru
> > > > >
> > > > > ; <<>> DiG 9.6.-ESV-R3 <<>>
> > > > > so-please-do-not-ask-me-why-some-people-want-to-be-braindamaged.ru
> > > > > ;; global options: +cmd
> > > > > ;; Got answer:
> > > > > ;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 39947
> > > > > ;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0
> > > > >
> > > > >
> > > > >
> > > > > Wed, 28 Mar 2012 13:25:18 +0400 от An An :
> > > > > > Так и не удалось мне решить проблему с [verification failed - body
> > > > > > hash mismatch (body probably modified in transit)].
> > > > > > Судя по всему, письмо передается на проверку антивирусу, а
> > > > > > возвращаясь обратно, второй раз проходит DKIM проверку. Больше
> > > > > > нигде в конфиге не может письмо инжектиться. Признаться, я уже и
> > > > > > сам запутался. Выкладываю два лога для одного и того же письма.
> > > > > >
> > > > > > Письмо прошло один раз проверку:
> > > > > > http://so-please-do-not-ask-me-why-some-people-want-to-be-braindamaged.ru/mail1.html
> > > > > > И еще раз, последний:
> > > > > > http://so-please-do-not-ask-me-why-some-people-want-to-be-braindamaged.ru/mail2.html
> > > > > >
> > > > > >
> > > > > >
> > > > > >
> > > > > >
> > > > > >
> > > > > > >
> > > > > > > проверка dkim впринципе раньше local_scan, либо вы как-то
> > > > > > > инжектите письмо второй раз обратно в мейлер.
> > > > > > >
> > > > > > > 24 февраля 2012, 12:30 от An An :
> > > > > > > > begin local_scan
> > > > > > > >
> > > > > > > > kas_connect_to =
> > > > > > > > unix:/usr/local/ap-mailfilter3/run/ap-process-server.socket
> > > > > > > > kas_connect_timeout = 100
> > > > > > > > kas_data_timeout = 100
> > > > > > > > kas_log_level = 50
> > > > > > > > kas_on_error = reject
> > > > > > > >
> > > > > > > > > Я тогда неоч понимаю, как второй раз в том же мейлере у вас
> > > > > > > > > письмо попадает на проверку dkim если local_scan?
> > > > > > > > >
> > > > > > > > > P.S. и отвечайте, пожалуйста, в рассылку тоже.
> > > > > > > > >
> > > > > > > > > 24 февраля 2012, 10:57 от An An :
> > > > > > > > > > Вроде ничего не добавляет. KAS настроен через local_scan. И
> > > > > > > > > > симулировать проблему тяжело.
> > > > > > > > > > Отключить KAS попробую(сервер под высокой нагрузкой),
> > > > > > > > > > отпишусь после этого.
> >
Re: [Exim-users] DKIM и KAS
экзим и система 64 бит?
Fri, 30 Mar 2012 12:12:31 +0400 от An An :
> Ну, с pre-queue тоже не все так просто:
>
> dlopen "/usr/local/lib/kaspersky/kav4lms/libkavexim.so" failed:
> /usr/local/lib/kaspersky/kav4lms/libkavexim.so: unsupported file layout
>
> То есть опять в руки напильник брать с паяльником. В любом случае, спасибо за
> совет, буду ковырять.
>
> > выкиньте вы эту дрянь, post-q фильтр г-но по определению.
> > есть замечательный dlfunc, как штатный так и не менее известного здесь
> > автора.
> >
> > ну и напоследок - dkim еще более мертворожденная вещь, чем SPF,
> > практического применения мало, тем более что интегрирован он в exim
> > настолько через жо с применением копепасты сорцов малоизвестного науке
> > "полярного пушного SSL", код которого не обновлялся в ветке экзима несмотря
> > на присланный патч в багзиллу б-г знает сколько лет.
> >
> >
> > Thu, 29 Mar 2012 13:16:39 +0400 от An An :
> > > Антивирус подключен как post-queue:
> > >
> > > #kav4lms-filter-begin-2
> > > kav4lms_filter:
> > > <-->driver = manualroute
> > > <-->condition = "${if or { {eq {$interface_port}{10026}} {eq
> > > {$received_protocol}{spam-scanned}} }{0}{1}}"
> > > <-->transport = kav4lms_filter
> > > <-->route_list = "* localhost"
> > > <-->self = send
> > > #kav4lms-filter-end-2
> > >
> > > Отключил антивирус, перестало сообщение дважды проходить через Exim, и
> > > "body hash mismatch" изчезло. Правда я сэмулировать эту ошибку никак не
> > > могу, даже если посылаю с личного ящика письмо с вложением.
> > >
> > >
> > > Wed, 28 Mar 2012 18:46:37 +0400 от dawnshade :
> > > > diff `hd mail1` `hd mail2`
> > > >
> > > > дает какие-либо различия? (либо hexdump, в разных системах оно
> > > > по-разному зовется). кто-то из контент сканеров, либо сам экзим может
> > > > фиксить переводы строк.
> > > > а антивирус кто и как подключен?
> > > > я бы в любом случае пошел путем отключения поочереди всех контент
> > > > сканеров
> > > >
> > > >
> > > >
> > > > Wed, 28 Mar 2012 16:25:23 +0400 от An An :
> > > > > Да, прошу прощения. Ссыhttp://e.mail.ru/cgi-bin/msglist#лки:
> > > > > http://pac.ru/mail1.html и http://pac.ru/mail2.html
> > > > >
> > > > > Выяснилось, что ошибка "[verification failed - body hash mismatch
> > > > > (body probably modified in transit)]" возникает безотносительно к
> > > > > ACL. Я полностью закомментировал DKIM ACL, и, насколько я понял,
> > > > > ситуация такова, что Exim видит DKIM сигнатуры в письме и на
> > > > > некоторые письма ругается.
> > > > >
> > > > > Заголовки двух писем(с ошибкой и без) в почтовом клиенте выглядят
> > > > > абсолютно одинаково, ничего лишнего или недостающего.
> > > > >
> > > > >
> > > > > > ДНС на том домене мертв
> > > > > >
> > > > > >
> > > > > > mail# dig
> > > > > > so-please-do-not-ask-me-why-some-people-want-to-be-braindamaged.ru
> > > > > >
> > > > > > ; <<>> DiG 9.6.-ESV-R3 <<>>
> > > > > > so-please-do-not-ask-me-why-some-people-want-to-be-braindamaged.ru
> > > > > > ;; global options: +cmd
> > > > > > ;; Got answer:
> > > > > > ;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 39947
> > > > > > ;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0
> > > > > >
> > > > > >
> > > > > >
> > > > > > Wed, 28 Mar 2012 13:25:18 +0400 от An An :
> > > > > > > Так и не удалось мне решить проблему с [verification failed -
> > > > > > > body hash mismatch (body probably modified in transit)].
> > > > > > > Судя по всему, письмо передается на проверку антивирусу, а
> > > > > > > возвращаясь обратно, второй раз проходит DKIM проверку. Больше
> > > > > > > нигде в конфиге не может письмо инжектиться. Признаться, я уже и
> > > > > > > сам запутался. Выкладываю два лога для одного и того же письма.
> > > > > > >
> > > > > > > Письмо прошло один раз проверку:
> > > > > > > http://so-please-do-not-ask-me-why-some-people-want-to-be-braindamaged.ru/mail1.html
> > > > > > > И еще раз, последний:
> > > > > > > http://so-please-do-not-ask-me-why-some-people-want-to-be-braindamaged.ru/mail2.html
> > > > > > >
> > > > > > >
> > > > > > >
> > > > > > >
> > > > > > >
> > > > > > >
> > > > > > > >
> > > > > > > > проверка dkim впринципе раньше local_scan, либо вы как-то
> > > > > > > > инжектите письмо второй раз обратно в мейлер.
> > > > > > > >
> > > > > > > > 24 февраля 2012, 12:30 от An An :
> > > > > > > > > begin local_scan
> > > > > > > > >
> > > > > > > > > kas_connect_to =
> > > > > > > > > unix:/usr/local/ap-mailfilter3/run/ap-process-server.socket
> > > > > > > > > kas_connect_timeout = 100
> > > > > > > > > kas_data_timeout = 100
> > > > > > > > > kas_log_level = 50
> > > > > > > > > kas_on_error = reject
> > > > > > > > >
> > > > > > > > > > Я тогда неоч понимаю, как второй раз в том же мейлере у вас
> > > > > > > > > > письмо попадает на проверку dkim если local_scan?
> > > > > > > > > >
> > > > > > > > > > P.S. и отвечайте, пожалуйста, в рассылку тоже.
> > > > > > >
Re: [Exim-users] DKIM и KAS
Exim 4.76 и FreeBSD 8.1 amd64
>
> экзим и система 64 бит?
>
>
> Fri, 30 Mar 2012 12:12:31 +0400 от An An :
> > Ну, с pre-queue тоже не все так просто:
> >
> > dlopen "/usr/local/lib/kaspersky/kav4lms/libkavexim.so" failed:
> > /usr/local/lib/kaspersky/kav4lms/libkavexim.so: unsupported file layout
> >
> > То есть опять в руки напильник брать с паяльником. В любом случае, спасибо
> > за совет, буду ковырять.
> >
> > > выкиньте вы эту дрянь, post-q фильтр г-но по определению.
> > > есть замечательный dlfunc, как штатный так и не менее известного здесь
> > > автора.
> > >
> > > ну и напоследок - dkim еще более мертворожденная вещь, чем SPF,
> > > практического применения мало, тем более что интегрирован он в exim
> > > настолько через жо с применением копепасты сорцов малоизвестного науке
> > > "полярного пушного SSL", код которого не обновлялся в ветке экзима
> > > несмотря на присланный патч в багзиллу б-г знает сколько лет.
> > >
> > >
> > > Thu, 29 Mar 2012 13:16:39 +0400 от An An :
> > > > Антивирус подключен как post-queue:
> > > >
> > > > #kav4lms-filter-begin-2
> > > > kav4lms_filter:
> > > > <-->driver = manualroute
> > > > <-->condition = "${if or { {eq {$interface_port}{10026}} {eq
> > > > {$received_protocol}{spam-scanned}} }{0}{1}}"
> > > > <-->transport = kav4lms_filter
> > > > <-->route_list = "* localhost"
> > > > <-->self = send
> > > > #kav4lms-filter-end-2
> > > >
> > > > Отключил антивирус, перестало сообщение дважды проходить через Exim, и
> > > > "body hash mismatch" изчезло. Правда я сэмулировать эту ошибку никак не
> > > > могу, даже если посылаю с личного ящика письмо с вложением.
> > > >
> > > >
> > > > Wed, 28 Mar 2012 18:46:37 +0400 от dawnshade :
> > > > > diff `hd mail1` `hd mail2`
> > > > >
> > > > > дает какие-либо различия? (либо hexdump, в разных системах оно
> > > > > по-разному зовется). кто-то из контент сканеров, либо сам экзим может
> > > > > фиксить переводы строк.
> > > > > а антивирус кто и как подключен?
> > > > > я бы в любом случае пошел путем отключения поочереди всех контент
> > > > > сканеров
> > > > >
> > > > >
> > > > >
> > > > > Wed, 28 Mar 2012 16:25:23 +0400 от An An :
> > > > > > Да, прошу прощения. Ссыhttp://e.mail.ru/cgi-bin/msglist#лки:
> > > > > > http://pac.ru/mail1.html и http://pac.ru/mail2.html
> > > > > >
> > > > > > Выяснилось, что ошибка "[verification failed - body hash mismatch
> > > > > > (body probably modified in transit)]" возникает безотносительно к
> > > > > > ACL. Я полностью закомментировал DKIM ACL, и, насколько я понял,
> > > > > > ситуация такова, что Exim видит DKIM сигнатуры в письме и на
> > > > > > некоторые письма ругается.
> > > > > >
> > > > > > Заголовки двух писем(с ошибкой и без) в почтовом клиенте выглядят
> > > > > > абсолютно одинаково, ничего лишнего или недостающего.
> > > > > >
> > > > > >
> > > > > > > ДНС на том домене мертв
> > > > > > >
> > > > > > >
> > > > > > > mail# dig
> > > > > > > so-please-do-not-ask-me-why-some-people-want-to-be-braindamaged.ru
> > > > > > >
> > > > > > > ; <<>> DiG 9.6.-ESV-R3 <<>>
> > > > > > > so-please-do-not-ask-me-why-some-people-want-to-be-braindamaged.ru
> > > > > > > ;; global options: +cmd
> > > > > > > ;; Got answer:
> > > > > > > ;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 39947
> > > > > > > ;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0,
> > > > > > > ADDITIONAL: 0
> > > > > > >
> > > > > > >
> > > > > > >
> > > > > > > Wed, 28 Mar 2012 13:25:18 +0400 от An An :
> > > > > > > > Так и не удалось мне решить проблему с [verification failed -
> > > > > > > > body hash mismatch (body probably modified in transit)].
> > > > > > > > Судя по всему, письмо передается на проверку антивирусу, а
> > > > > > > > возвращаясь обратно, второй раз проходит DKIM проверку. Больше
> > > > > > > > нигде в конфиге не может письмо инжектиться. Признаться, я уже
> > > > > > > > и сам запутался. Выкладываю два лога для одного и того же
> > > > > > > > письма.
> > > > > > > >
> > > > > > > > Письмо прошло один раз проверку:
> > > > > > > > http://so-please-do-not-ask-me-why-some-people-want-to-be-braindamaged.ru/mail1.html
> > > > > > > > И еще раз, последний:
> > > > > > > > http://so-please-do-not-ask-me-why-some-people-want-to-be-braindamaged.ru/mail2.html
> > > > > > > >
> > > > > > > >
> > > > > > > >
> > > > > > > >
> > > > > > > >
> > > > > > > >
> > > > > > > > >
> > > > > > > > > проверка dkim впринципе раньше local_scan, либо вы как-то
> > > > > > > > > инжектите письмо второй раз обратно в мейлер.
> > > > > > > > >
> > > > > > > > > 24 февраля 2012, 12:30 от An An :
> > > > > > > > > > begin local_scan
> > > > > > > > > >
> > > > > > > > > > kas_connect_to =
> > > > > > > > > > unix:/usr/local/ap-mailfilter3/run/ap-process-server.socket
> > > > > > > > > > kas_connect_timeout = 100
> > > > > > > > > > kas_data_timeout = 100
> > > > > > > > > > kas_log_level = 50
> > > > > > > > > >
Re: [Exim-users] DKIM и KAS
An An wrote:
>
> Exim 4.76 и FreeBSD 8.1 amd64
а если собрать libkavexim.so в /usr/local/src/kav4lms/exim-dlfunc?
единственное, что я бы подложил в
/usr/local/src/kav4lms/exim-dlfunc/exim-lib/exim-headers актуальные
версии этих же файлов из
/usr/ports/mail/exim/work/exim-4.7*/build-FreeBSD-amd64
>> экзим и система 64 бит?
>>
>>
>> Fri, 30 Mar 2012 12:12:31 +0400 от An An :
>>> Ну, с pre-queue тоже не все так просто:
>>>
>>> dlopen "/usr/local/lib/kaspersky/kav4lms/libkavexim.so" failed:
>>> /usr/local/lib/kaspersky/kav4lms/libkavexim.so: unsupported file layout
>>>
>>> То есть опять в руки напильник брать с паяльником. В любом случае, спасибо
>>> за совет, буду ковырять.
>>>
выкиньте вы эту дрянь, post-q фильтр г-но по определению.
есть замечательный dlfunc, как штатный так и не менее известного здесь
автора.
ну и напоследок - dkim еще более мертворожденная вещь, чем SPF,
практического применения мало, тем более что интегрирован он в exim
настолько через жо с применением копепасты сорцов малоизвестного науке
"полярного пушного SSL", код которого не обновлялся в ветке экзима
несмотря на присланный патч в багзиллу б-г знает сколько лет.
Thu, 29 Mar 2012 13:16:39 +0400 от An An :
> Антивирус подключен как post-queue:
>
> #kav4lms-filter-begin-2
> kav4lms_filter:
> <-->driver = manualroute
> <-->condition = "${if or { {eq {$interface_port}{10026}} {eq
> {$received_protocol}{spam-scanned}} }{0}{1}}"
> <-->transport = kav4lms_filter
> <-->route_list = "* localhost"
> <-->self = send
> #kav4lms-filter-end-2
>
> Отключил антивирус, перестало сообщение дважды проходить через Exim, и
> "body hash mismatch" изчезло. Правда я сэмулировать эту ошибку никак не
> могу, даже если посылаю с личного ящика письмо с вложением.
>
>
> Wed, 28 Mar 2012 18:46:37 +0400 от dawnshade :
>> diff `hd mail1` `hd mail2`
>>
>> дает какие-либо различия? (либо hexdump, в разных системах оно
>> по-разному зовется). кто-то из контент сканеров, либо сам экзим может
>> фиксить переводы строк.
>> а антивирус кто и как подключен?
>> я бы в любом случае пошел путем отключения поочереди всех контент
>> сканеров
>>
>>
>>
>> Wed, 28 Mar 2012 16:25:23 +0400 от An An :
>>> Да, прошу прощения. Ссыhttp://e.mail.ru/cgi-bin/msglist#лки:
>>> http://pac.ru/mail1.html и http://pac.ru/mail2.html
>>>
>>> Выяснилось, что ошибка "[verification failed - body hash mismatch (body
>>> probably modified in transit)]" возникает безотносительно к ACL. Я
>>> полностью закомментировал DKIM ACL, и, насколько я понял, ситуация
>>> такова, что Exim видит DKIM сигнатуры в письме и на некоторые письма
>>> ругается.
>>>
>>> Заголовки двух писем(с ошибкой и без) в почтовом клиенте выглядят
>>> абсолютно одинаково, ничего лишнего или недостающего.
>>>
>>>
ДНС на том домене мертв
mail# dig
so-please-do-not-ask-me-why-some-people-want-to-be-braindamaged.ru
; <<>> DiG 9.6.-ESV-R3 <<>>
so-please-do-not-ask-me-why-some-people-want-to-be-braindamaged.ru
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 39947
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0
Wed, 28 Mar 2012 13:25:18 +0400 от An An :
> Так и не удалось мне решить проблему с [verification failed - body
> hash mismatch (body probably modified in transit)].
> Судя по всему, письмо передается на проверку антивирусу, а
> возвращаясь обратно, второй раз проходит DKIM проверку. Больше нигде
> в конфиге не может письмо инжектиться. Признаться, я уже и сам
> запутался. Выкладываю два лога для одного и того же письма.
>
> Письмо прошло один раз проверку:
> http://so-please-do-not-ask-me-why-some-people-want-to-be-braindamaged.ru/mail1.html
> И еще раз, последний:
> http://so-please-do-not-ask-me-why-some-people-want-to-be-braindamaged.ru/mail2.html
>
>
>
>
>
>
>>
>> проверка dkim впринципе раньше local_scan, либо вы как-то инжектите
>> письмо второй раз обратно в мейлер.
>>
>> 24 февраля 2012, 12:30 от An An :
>>> begin local_scan
>>>
>>> kas_connect_to =
>>> unix:/usr/local/ap-mailfilter3/run/ap-process-server.socket
>>> kas_connect_timeout = 100
>>> kas_data_timeout = 100
>>> kas_log_level = 50
>>> kas_on_error = reject
>>>
Я тогда неоч понимаю, как второй раз в том же мейлере у вас письмо
попадает на проверку dkim если local_scan?
P.S. и отвечайте, п
Re: [Exim-users] DKIM и KAS
Спасибо большое за совет, получилось собрать вручную и все отлично заработало.
> >
> > Exim 4.76 и FreeBSD 8.1 amd64
>
> а если собрать libkavexim.so в /usr/local/src/kav4lms/exim-dlfunc?
>
> единственное, что я бы подложил в
> /usr/local/src/kav4lms/exim-dlfunc/exim-lib/exim-headers актуальные
> версии этих же файлов из
> /usr/ports/mail/exim/work/exim-4.7*/build-FreeBSD-amd64
>
> >> экзим и система 64 бит?
> >>
> >>
> >> Fri, 30 Mar 2012 12:12:31 +0400 от An An :
> >>> Ну, с pre-queue тоже не все так просто:
> >>>
> >>> dlopen "/usr/local/lib/kaspersky/kav4lms/libkavexim.so" failed:
> >>> /usr/local/lib/kaspersky/kav4lms/libkavexim.so: unsupported file layout
> >>>
> >>> То есть опять в руки напильник брать с паяльником. В любом случае,
> >>> спасибо за совет, буду ковырять.
> >>>
> выкиньте вы эту дрянь, post-q фильтр г-но по определению.
> есть замечательный dlfunc, как штатный так и не менее известного здесь
> автора.
>
> ну и напоследок - dkim еще более мертворожденная вещь, чем SPF,
> практического применения мало, тем более что интегрирован он в exim
> настолько через жо с применением копепасты сорцов малоизвестного науке
> "полярного пушного SSL", код которого не обновлялся в ветке экзима
> несмотря на присланный патч в багзиллу б-г знает сколько лет.
>
>
> Thu, 29 Mar 2012 13:16:39 +0400 от An An :
> > Антивирус подключен как post-queue:
> >
> > #kav4lms-filter-begin-2
> > kav4lms_filter:
> > <-->driver = manualroute
> > <-->condition = "${if or { {eq {$interface_port}{10026}} {eq
> > {$received_protocol}{spam-scanned}} }{0}{1}}"
> > <-->transport = kav4lms_filter
> > <-->route_list = "* localhost"
> > <-->self = send
> > #kav4lms-filter-end-2
> >
> > Отключил антивирус, перестало сообщение дважды проходить через Exim, и
> > "body hash mismatch" изчезло. Правда я сэмулировать эту ошибку никак не
> > могу, даже если посылаю с личного ящика письмо с вложением.
> >
> >
> > Wed, 28 Mar 2012 18:46:37 +0400 от dawnshade :
> >> diff `hd mail1` `hd mail2`
> >>
> >> дает какие-либо различия? (либо hexdump, в разных системах оно
> >> по-разному зовется). кто-то из контент сканеров, либо сам экзим может
> >> фиксить переводы строк.
> >> а антивирус кто и как подключен?
> >> я бы в любом случае пошел путем отключения поочереди всех контент
> >> сканеров
> >>
> >>
> >>
> >> Wed, 28 Mar 2012 16:25:23 +0400 от An An :
> >>> Да, прошу прощения. Ссыhttp://e.mail.ru/cgi-bin/msglist#лки:
> >>> http://pac.ru/mail1.html и http://pac.ru/mail2.html
> >>>
> >>> Выяснилось, что ошибка "[verification failed - body hash mismatch
> >>> (body probably modified in transit)]" возникает безотносительно к
> >>> ACL. Я полностью закомментировал DKIM ACL, и, насколько я понял,
> >>> ситуация такова, что Exim видит DKIM сигнатуры в письме и на
> >>> некоторые письма ругается.
> >>>
> >>> Заголовки двух писем(с ошибкой и без) в почтовом клиенте выглядят
> >>> абсолютно одинаково, ничего лишнего или недостающего.
> >>>
> >>>
> ДНС на том домене мертв
>
>
> mail# dig
> so-please-do-not-ask-me-why-some-people-want-to-be-braindamaged.ru
>
> ; <<>> DiG 9.6.-ESV-R3 <<>>
> so-please-do-not-ask-me-why-some-people-want-to-be-braindamaged.ru
> ;; global options: +cmd
> ;; Got answer:
> ;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 39947
> ;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0
>
>
>
> Wed, 28 Mar 2012 13:25:18 +0400 от An An :
> > Так и не удалось мне решить проблему с [verification failed - body
> > hash mismatch (body probably modified in transit)].
> > Судя по всему, письмо передается на проверку антивирусу, а
> > возвращаясь обратно, второй раз проходит DKIM проверку. Больше
> > нигде в конфиге не может письмо инжектиться. Признаться, я уже и
> > сам запутался. Выкладываю два лога для одного и того же письма.
> >
> > Письмо прошло один раз проверку:
> > http://so-please-do-not-ask-me-why-some-people-want-to-be-braindamaged.ru/mail1.html
> > И еще раз, последний:
> > http://so-please-do-not-ask-me-why-some-people-want-to-be-braindamaged.ru/mail2.html
> >
> >
> >
> >
> >
> >
> >>
> >> проверка dkim впринципе раньше local_scan, либо вы как-то
> >> инжектите письмо второй раз обратно в мейлер.
> >>
> >> 24 февраля 2012, 12:30 от An An :
> >>> begin local_scan
> >>>
> >>> kas_connect_to =
> >>> unix:/usr/local/ap-mailfilter3/run/ap-process-server.socket
> >>> kas_connect_
