具有多个MX的OpenDMARC :正确设置服务器之间的信任

Question

关于如何在您最喜欢的Linux版本上安装OpenDMARC，有许多教程，但它们都集中在单个服务器配置上。我的目标是保持备用MX服务器的备份，但强制执行RejectFailures true，以使DMARC p=reject实际上得到满足。

这导致了一个问题:示例配置有用于uptream和DKIM源的TrustedAuthservIDs HOSTNAME。如果这用于列出辅助MX服务器，它将允许使用单个伪造头完全绕过主MX上的OpenDMARC检查。

Authentication-Results: <HOSTNAME>;
        dkim=pass (1024-bit key; unprotected) header.d=example.com header.i=@example.com;

如何配置主MX和辅助MX之间的信任而没有此缺陷？

这是对安全堆栈交换上的另一个问题的重写，用于服务器故障范围。

Answer 1

简言之：

• OpenDMARC可以并且应该独立地检查SPF。
• OpenDKIM必须验证签名，即使它已经“验证”了。(在单一MX上也是如此！)
• MX服务器之间的信任不应依赖报头，而应依赖SMTP连接。

如何配置这个？

1. 您可以遵循(SPF，) OpenDKIM和OpenDMARC的初始配置教程。(在此之后，后缀将OpenDKIM和OpenDMARC配置为SMTP。)
2. 所有MX服务器的OpenDMARC配置更改/etc/opendmarc.conf：
   • 对连接级拒绝使用OpenDMARC milter (默认为false)：RejectFailures true
   • 不要信任来自pypolicyd SPF或alternative的外部spf检查。执行自己的检查: SPFIgnoreResults true SPFSelfValidate true

3. 即使OpenDKIM已经存在，也必须配置为添加标头。/etc/opendkim.conf：AlwaysAddARHeader是
4. 一旦每个MX都配置了#1-#3，主MX上的OpenDMARC就可以信任其他MX服务器所做的检查；伪造邮件应该已经被次要MX拒绝了。不要在TrustedAuthservIDs上列出它们，因为它容易受到头伪造的攻击。还有一个更适合于此的opendmarc.conf选项：IgnoreHosts (string)指定文件的路径，该文件包含主机名、IP地址和/或CIDR表达式的列表，这些表达式标识将被筛选器忽略的主机。如果未指定，则默认为127.0.0.1。IgnoreHosts /etc/opendmarc-myrehosts.conf ...and列出新配置文件中辅助MX服务器(S)的IP地址。