Postfix opendkim and missing From header

I spent a good part of the last few days trying to debug a very weird problem involving postfix and opendkim, so I thought it was a good idea to write the entire experience down for anybody who might be encountering the same (or a similar) problem. This was probably the weirdest misbehaviour I managed to trigger without involving any real bug…

 

On a system I control, I installed opendkim for signing only and configured postfix to interact with it: installation was smooth as usual and everything was deployed in an hour or two. The emails sent by the system are partly anonymized and some headers are therefore stripped before the mail goes out. For this reason, DKIM was configured to sign only some of the headers (and not all of them) or the signatures would fail to validate for remote users.

I sent a few test emails to Gmail and everything seemed to be fine: mail signed, signature header as expected, Google verifying the signature correctly and so on. So I told other users of the same server that the feature was enabled and to poke me in case something was wrong. Immediately one user wrote back saying he wasn’t seeing any signature at all in the emails he was sending.

I checked the logs for his email and found this:

Mar 24 12:22:56 myserver opendkim[32082]: 0CA2F2F1: can’t determine message sender; accepting

The presence of a “From” or “Sender” header within the email is mandatory for DKIM, otherwise the mail can’t be signed; this message was saying that the mail had none and was therefore refusing to sign it.

Easy.

 

(more…)

Read Full Post »

Sempre su DBL

Oggi è entrata definitivamente in funzione DBL.

Con l’occasione, voglio precisare una osservazione riguardo a quanto affermavo pochi giorni fa sull’uso di DBL con software (quale milter-link) non predisposto per le query della tipologia che Spamhaus si aspetta.

Per evitare che l’utenza attivasse dall’istante zero le query su DBL anche per gli IP oltre che per i domini (cosa che Spamhaus non si attende per policy), sono stati attivati in testa a DBL dei record di  catchall per le query numeriche, che rispondono con record A 127.0.1.255 e TXT associato pari a “No IP queries, see http://www.spamhaus.org/faq/answers.lasso?section=Spamhaus%20DBL#279“.

Significa che, se viene utilizzata in tale modalità, DBL lista qualsiasi URL numerica contenuta nel messaggio.

Per quanto mi riguarda ho bypassato il problema rimuovendo le entry di catchall dalla copia locale prelevata da Spamhaus, come misura temporanea in attesa che Anthony rilasci una nuova versione di milter-link che eviti il problema alla radice.

Nel frattempo, nulla vieta di usarla nelle sue altre declinazioni possibili, quali il lookup delle HELO string, della zona inversa e dell’envelope sender, badando però di limitare il reject alle sole risoluzioni che tornino un record A pari a 127.0.1.2:

reject_rhsbl_helo dbl.spamhaus.org=127.0.1.2

reject_rhsbl_client dbl.spamhaus.org=127.0.1.2

reject_rhsbl_sender dbl.spamhaus.org=127.0.1.2

Aggiornamento 02/03/2010: oggi Anthony ha rilasciato la versione 1.3 di milter-link e la versione 1.73.14 di libsnert, che includono il necessario supporto a DBL.

Read Full Post »

milter-link going commercial

Milter-link, per chi non lo sapesse, è un milter sviluppato da Anthony Howe originariamente per sendmail ma che funziona senza problemi anche con postfix.

Permette di analizzare il body di un messaggio mentre lo si riceve, provvede ad estrarre le URL da esso linkate e eseguire il lookup di queste su DNSBL pensate per questo scopo (quali SURBL e URIBL), per poi eventualmente rigettare il messaggio qualora questo sia listato.

Ha anche una serie di possibilità aggiuntive, come il lookup degli A-record dell’URL su DNSBL di tipo “classico” (quelle che listano IP, per capirci) come SBL, o il lookup dei record A dei record NS del dominio in URL, ecc. il cui utilizzo richiede però un buon grado di comprensione di cosa si sta facendo e di come è opportuno farlo: sono funzionalità utilissime se mantenete le vostre DNSBL da usare in questo ruolo, ma in mani incaute sono potenzialmente disastrose.

Da pochi mesi, si è aggiunta una funzionalità richiesta da me medesimo per esigenze sperimentali, che consiste nella possibilità di estrarre da un messaggio anche gli eventuali indirizzi email presenti in header (From, Reply-To, Sender) e body (ad esempio link di tipo “mailto”) ed effettuare il lookup delle stesse (in realtà del loro hash MD5 in formato esadecimale) su apposite DNSBL mantenute allo scopo (non cercatene di pubbliche in giro, tanto per ora non ne trovate).

L’approccio si sta rivelando piuttosto efficace nel controllo di tipologie di spam di difficile trattamento con i “metodi classici” come i 419.

In virtù della quantità di features introdotte e della oramai piuttosto testata maturità ed efficacia del prodotto, Anthony ha oggi annunciato il passaggio di questo milter ad una licenza di tipo commerciale: 85€ per una “site license” (che in altre parole significa che pagate una licenza ma se poi avete 5 MTA in casa usate la stessa licenza per tutti).

Vista l’utilità dell’oggetto e il costo irrisorio, mi sento vivamente di sponsorizzarne l’adozione da parte di chi volesse aggiungere funzionalità di URL-scanning ai propri mailserver senza imbarcarsi nella sequela di bestemmie che può dare il tuning di SpamAssassin, soprattutto per quanto concerne le prestazioni in sistemi con flussi “corposi”.

Read Full Post »