Asfihani - DKIM di Postfix

DKIM di Postfix

In Postfix on 11 March 2008 tagged tutorial with 20 comments (2,879 views)

postfix Sebenarnya saya cukup puas dengan DomainKeys di Postfix menggunakan dkfilter untuk menge-sign email yang keluar. Namun kelihatannya dkfilter ini sudah berhenti developmentnya dan DomainKeys sudah mulai ditinggalkan dan diteruskan oleh DKIM. Maka dengan menimbang berbagai kepentingan akhirnya diputuskan (karena terpaksa hiya) untuk menggunakan DKIM di Postfix. Karena masih banyak pengguna email Yahoo diluar sana, maka implementasi DKIM ini mungkin hukumnya sudah menjadi wajib bagi email administrator, kalau tidak bisa jadi email tiba-tiba masuk ke folder bulk-nya Yahoo, walaupun ini bukan satu-satunya penyebab.

Implementasi DKIM di Postfix kalau saya lihat bisa menggunakan dua metode. Yang pertama adalah dengan menggunakan teknologi milter(nya Sendmail) dan menggunakan proxy (sebelum atau sesudah queue). Yang terakhir ini yang saya gunakan untuk menge-sign email yang keluar saja yaitu DKIMproxy.Bikin user terlebih dahulu misalnya dkim, kemudian instal modul perl berikut ini:

Crypt::OpenSSL::RSA Digest::SHA Digest::SHA1 Error Mail::Address MIME::Base64 Net::DNS Net::Server Mail::DKIM

Download DKIMproxy dari sini http://dkimproxy.sourceforge.net/, kemudian lakukan ./configure dengan menentukan direktori dimana program ini akan disimpan, misalnya adalah /usr/local/dkimproxy/:

./configure --prefix=/usr/local/dkimproxy
make install

Buat key :

openssl genrsa -out private.key 1024
openssl rsa -in private.key -pubout -out public.key

Simpan file private.key dan public.key di direktori /usr/local/dkimproxy/ atau dimana saja dan pastikan file private.key tidak bisa dibaca oleh orang lain tapi masih bisa dibaca oleh user yang menjalankan daemon dkim.

Buat record selector di DNS misalnya adalah selector1, yaitu sebuah record TXT yang isinya merupakan teks yang berada di file public.key diatas dengan menghapus PEM header dan footer terlebih dahulu. Kemduain masukkan di zone domain yang akan disign dengan DKIM. Contoh record di DNS adalah sebagai berikut:

selector1._domainkey IN TXT "k=rsa; t=s; p=MHwwDQYJK ... OprwIDAQAB"

Kemudian jalan daemon DKIMproxy untuk menge-sign email yang keluar untuk domain yang bersangkutan, misalnya example.org (dalam satu baris):

dkimproxy.out --user=dkim --group=dkim --keyfile=/usr/local/dkimproxy/private.key
--selector=selector1 --domain=example.org --method=relaxed
127.0.0.1:10027 127.0.0.1:10028

Kemudian lakukan perubahan di Postfix agar email disign terlebih dahulu sebelum keluar, disini saya gunakan port submission (587) untuk email yang akan disign. Edit di master.cf sesuai dengan instruksi disini. Test dengan mengirim email ke Yahoo, jangan lupa untuk mengganti SMTP port menjadi port 587, maka jika sukses akan ada log seperti ini :


Feb 26 11:22:11 smtp01 dkimproxy.out[15418]: DKIM signing - signed;
message-id=<47C3942E.4080802@example.org> signer=<@example.org>
from=

Kemudian periksa di Yahoo, jika sukses akan terlihat di header seperti ini:

DKIM di Postfix

Semoga bermanfaat :-)

Random Posts:

← Memperbaharui Certificate SSL di Courier Dari Kannel hingga Gammu →

20 Comments

Posted by dikshie on 11 March 2008 12:03:18 WIB
Using Mozilla Firefox 2.0.0.12 on Windows XP

di jepang ada rekomendasi dari pemerintah bahwa submit email harus lewat submission port dan hampir semua isp nurut rekomendasi pemerintah tsb.

Posted by cygnuzz on 17 March 2008 11:03:50 WIB
Using Mozilla Firefox 2.0.0.12 on Ubuntu Linux

DKIM ini bisa untuk verifikasi domainkeys email masuk pak?

Posted by Asfihani on 22 March 2008 13:03:35 WIB
Using Mozilla Firefox 1.0.4 on Mac OS X Mach

#1 Kalau di Indonesia beberapa ISP sudah mulai ngeblok port 25 keluar, dan harus menggunakan SMTP ISP ybs kalau mau kirim email. Kalau policy port submission belum pernah saya dengar mas :-)

#2 Bisa sekali pak, silakan langsung dibaca di websitenya :-)

Posted by Janssen on 27 March 2008 10:03:37 WIB
Using Mozilla Firefox 2.0.0.13 on Windows XP

pak mau nanya dkim bisa ga di integrasikan dgn clamsmtp ?
soalnya sekarang ini saya masih pakai clamstpd di mail server saya.
utk relay mailnya + av masih pakai clamav.
seandainya ga bs kira kira rekomendasi pak asfik pakai apa yg spy lebih mudah utk setup-nya

thanks

Janssen

Posted by agus on 1 April 2008 13:04:25 WIB
Using Mozilla Firefox 2.0.0.11 on Windows XP

Mas asfik, biar di outlook express ga merubah ke port 587 gmn ya? biar tetap memakai port standard 25 dan menggunakan dkim nya

Thanks tutornya

Posted by Asfihani on 12 April 2008 08:04:34 WIB
Using K-Meleon 1.1.5 on Windows XP

#5 Seperti dilink yang dijelaskan diatas, pemisahan ini ditujukan agar email yang keluar saja yang akan disign. Karena biasanya port 25 itu dipakai untuk mengirim dan menerima email.

Tapi kalau ditempat mas Agus hanya sebagai SMTP saja, bukan sebagain spool yang menerima email, maka sebenarnya tinggal menambahkan ini di main.cf:

content_filter=dksign:[127.0.0.1]:10027

Posted by agus on 18 April 2008 09:04:18 WIB
Using Mozilla Firefox 2.0.0.11 on Windows XP

Di tempat saya smtp nya pake postfix dan nerima email pake qmail dengan mesin terpisah. Tp akan saya coba dulu saran mas asfi, seperti mas asfi sarankan diatas di outlook express seting outgoing apakah tetep standard 25 atau tetap diubah ke submission 587?

Thanks infonya

Posted by agus on 18 April 2008 10:04:20 WIB
Using Mozilla Firefox 2.0.0.11 on Windows XP

OK mas udah jalan sepertinya, o ya satu lagi mau tanya hehehhe…maaf banyak tanya, kalau di main.cf 2 ada content_filter=dksign:[127.0.0.1]:10027
content_filter = smtp-amavis:[127.0.0.1]:10024

aakah tidak apa2 mas?

Thanks

Posted by Asfihani on 21 April 2008 09:04:22 WIB
Using Mozilla Firefox 2.0.0.12 on Mac OS

Tidak apa-apa sih, tapi yang dibaca Postfix cuman satu, yang terakhir :-). Mending dibuat berantai saja, setelah email di scan oleh amavis lalu diteruskan ke port DKIM filter untuk disign, baru diteruskan ke port yang semestinya.

Posted by agus on 22 April 2008 10:04:51 WIB
Using Mozilla Firefox 2.0.0.11 on Windows XP

masih belum mengerti mas mengenai arti berantai yang mas asfi sebutkan, bisa kasi contoh ngga?

Terimakasih

Contohnya adalah $forward_method = ‘smtp:127.0.0.1:10025′ di amavisd.conf diarahkan ke port domainkeys. Silakan dicoba.

Posted by dodi on 11 June 2009 10:06:26 WIB
Using Mozilla Firefox 2.0.0.20 on Windows XP

asslmkm, mas asfik..

klo mesin dns dan mail servernya terpisah berari key-nya dibuat di mana?di mesin dns apa di mailservernya?

thx

Posted by Asfihani on 11 June 2009 10:06:10 WIB
Using Mozilla Firefox 3.0.10 on Mac OS X 10

@dodi

Wa’alaikumsalam wr wb, key nya bisa dibuat di mana saja, asal isi dari public keynya nanti harus dimasukkan sebagai entry selector di DNS.

Posted by dodi on 12 June 2009 20:06:45 WIB
Using Mozilla Firefox 2.0.0.20 on Windows XP

sudah bisa tp masih masuk ke bulk yahoo?apa PTR record ipnya harus di samain sperti hostname?ada ide? :)

Posted by Asfihani on 13 June 2009 14:06:19 WIB
Using Mozilla Firefox 3.0.11 on Mac OS X 10

@dody: dicoba saja ditunggu dulu, kalau dalam dua tiga hari masih sama, tidak ada salahnya PTR nya di update. Btw, testingnya sukses kan?

Posted by dodi on 22 June 2009 12:06:56 WIB
Using Mozilla Firefox 2.0.0.20 on Windows XP

testingnya sukses..PTR di update :)

OOT: oiya akh, saya khan pake amavis, itu kalo alias sesama domain pasti yg aliasnya dapet email double. saya kira salah setting di postfixnya tp pas saya offkan settingan amavis di postfixnya ternyata dapet satu email(ga double) pas saya on-in lagi dapet 2 lagi email yg di aliasing tersebut(antar sesama domain klo ke luar domain sperti yahoo, terimanya satu). mungkin karena amavisd dya ngejalannya di localhost jadi dapet 2 gitu, bener ga ya?atau mas asfik ada saran buat kurangin spam?pake spamassassin mungkin,atau ada ide?

Posted by Asfihani on 22 June 2009 13:06:44 WIB
Using Mozilla Firefox 3.0.11 on Mac OS X 10

@dodi: ada bcc_maps dan turunannya ngga? kalau ada, berarti tinggal disable fitur tersebut ketika email akan di masukkan kembali ke postfixnya

Posted by dodi on 22 June 2009 14:06:59 WIB
Using Mozilla Firefox 2.0.0.20 on Windows XP

setelah saya check dan postconf, hasilnya begini:

# postconf | grep bcc
always_bcc =
proxy_read_maps = $local_recipient_maps $mydestination $virtual_alias_maps $virtual_alias_domains $virtual_mailbox_maps $virtual_mailbox_domains $relay_recipient_maps $relay_domains $canonical_maps $sender_canonical_maps $recipient_canonical_maps $relocated_maps $transport_maps $mynetworks $sender_bcc_maps $recipient_bcc_maps $smtp_generic_maps $lmtp_generic_maps
recipient_bcc_maps =
sender_bcc_maps =

yg di disable yg mana ya?malum newbie :D

Posted by dodi on 22 June 2009 15:06:05 WIB
Using Mozilla Firefox 2.0.0.20 on Windows XP

alhamdulillah mas sudah bisa sekarang…:D

jika memakai content filter maka mail akan melewati postfix sebanyak 2 kali jadi setelah googling ternyata di main.cf harus di tambahkan

receive_override_options=no_address_mappings

dan di master.cf masukkan:

-o receive_override_options=no_header_body_checks,no_unknown_recipient_checks,no_milters

dan reload deh postfixnya..:)
It works!

Jazakallah

Posted by hafid on 4 August 2010 15:08:00 WIB
Using Mozilla Firefox 3.0.8 on Ubuntu Linux

Mas,saya mau nanya,apa ada hubungannya topik mas dengan email keluar dengan attachment?? soalnya saya pengguna postfix jg,kirim email keluar ke yahoo or gmail dengan attachment tidak terkirim tetapi jika tanpa attachment bisa terkirim…
ada kah solusinya?? berikut log nya..

Aug 4 15:58:23 mail postfix/qmgr[17255]: 5F8AD6F83EF: from=, size=166459, nrcpt=1 (queue active)
Aug 4 15:58:23 mail dovecot: imap-login: Login: user=, method=PLAIN, rip=::ffff:127.0.0.1, lip=::ffff:127.0.0.1, secured
Aug 4 15:58:23 mail postfix/pickup[17256]: 70BBC6F8422: uid=101 from=
Aug 4 15:58:23 mail postfix/qmgr[17255]: 70BBC6F8422: from=, size=166576, nrcpt=1 (queue active)

Posted by Asfihani on 4 August 2010 16:08:18 WIB
Using Safari 533.17.8 on Mac OS X 10.6.4

Mas Hafid,

Hal ini tidak ada hubungannya dengan email yang memiliki attachment. Kalau email attachment yg tidak bisa keluar atau timeout, mungkin penyebabnya adalah link internet yang saturate (penuh). Coba diperiksa apakah memang demikian, terutama bandwidth uplinknya.

Mungkin begitu mas kira-kira..

← Back to Home

Asfihani Dicatet Ben Ora Lali™ (literally mean: dicatat biar tidak lupa)

DKIM di Postfix

20 Comments

Leave a Comment