用postfix签署电子邮件

Question

from:    Facebook notification+kr4myw5ewe5n@facebookmail.com

reply-to:    noreply <noreply@facebookmail.com>

to:  Achal Tomar <achal.tomar58@gmail.com>

date:    Wed, Jul 11, 2012 at 6:57 PM

subject:     Abhishek Awasthi tagged a photo of you on Facebook



>mailed-by:  facebookmail.com

>signed-by:  facebookmail.com

这是我从facebook收到的邮件的详细信息，在这里邮寄-by:和签名-by: headers是相同的-这对于邮件身份验证很重要。我还想在后缀邮件服务器上实现这一点，有什么方法可以实现吗？我的场景如下：-我有一个centOs 5服务器，它使用postfix作为MTA，这个服务器使用循环负载平衡技术来平衡发送到其他服务器进行中继的邮件。所有服务器都在同一个域上，假设"example.com“，现在我需要的是，当邮件被发送到负载均衡器进行中继时，它就会发送由同一个域签名的所有邮件:报头必须包含"example.com”。此外，中继服务器转发到目的地的邮件也必须由"example.com“的头签名。

Answer 1

您在GMail中看到的是DKIM和SPF验证的结合。SPF相对简单，是一个DNS记录，指定哪些邮件服务器从您的域发送邮件。我相信这就是Gmail展示“邮寄-通过”标签的方式。DKIM要复杂一些，因为您将主要使用后缀筛选器对发送的邮件进行加密签名。还有一个DNS条目，用于发布DKIM公钥。DKIM验证在GMail中显示为“签名-通过”标记。

查看了这里在“签名”和“邮寄”标签上的官方文档。

对于DKIM入门，这里是wiki页面。您使用的是CentOS，但是使用后缀设置DKIM的Ubuntu文档相对比较清楚。您可以更具体地搜索面向CentOS的文档。

通常，您将安装OpenDKIM包(您需要启用EPEL回购)并配置它(例如，生成密钥对，告诉OpenDKIM在签署给定域时使用哪个密钥，等等)。将有一个opendkim守护进程侦听环回接口上的端口。将将后缀配置为将通过该守护进程的邮件作为smtpd_milter在main.cf中处理。一旦完成，您将为您指定公钥的域的DNS添加一个TXT记录。