From 0486c98e557b60ff890cf73a359ac8aa45f5630f Mon Sep 17 00:00:00 2001 From: Sergey Matveev Date: Thu, 11 Jan 2024 18:03:04 +0300 Subject: [PATCH] =?utf8?q?=D0=A1=D0=BC=D0=B5=D0=BD=D0=B0=20OpenDKIM=20?= =?utf8?q?=D0=BD=D0=B0=20go-msgauth/cmd/dkim-milter?= MIME-Version: 1.0 Content-Type: text/plain; charset=utf8 Content-Transfer-Encoding: 8bit https://habr.com/ru/news/785486/ https://datatracker.ietf.org/doc/html/rfc8463 https://github.com/emersion/go-msgauth Gmail и Yahoo скоро будут в обязательном порядке требовать наличие DKIM, SPF и DMARC. Это всё у меня уже давно настроено, но решил посмотреть снова так ли это. Увидел, что ещё в 2018-ом стандартизовали (RFC) ed25519 алгоритм для всего этого DKIM дела. Но OpenDKIM не поддерживает этот алгоритм. Нашёлся вот на Go go-msgauth, поддерживающий ed25519, в котором утилиты и для генерирования ключей и для работы в качестве почтового milter-а. Без проблем подружился с Postfix, где я просто адрес milter указал на Unix-сокет. Чтобы сокет был с нужными правами, то проще всего было запустить его под setuidgid утилитой, сразу же сделав daemontools службой. И перезапуск сразу будет при падении и ловля логов. Сам milter и проверять сообщения умеет, вставляя Authentication-Results заголовок с результатами проверки каждой DKIM подписи. Куда приятнее его использовать чем OpenDKIM ещё и с отдельным конфигом. В курсе что ed25519 Gmail проверять не умеет. Но они и TLS сертификаты с ним не принимают. Идут в жопу. Как внедрять очередную корпоративную херню ради "блага, experience, приватности и безопасности пользователей о которых заботимся", то мигом с следующей минорной версии любого их софта, а как добавить поддержку вменяемых (относительно RSA) алгоритмов, то тормозят, хотя *25519 куда проще реализовывать чем любые RSA или ECDSA (и давно реализации на любых языках имеются). -- 2.48.1