Вопрос или проблема
Я уже два часа настраиваю DKIM с помощью Postfix на Ubuntu 20.04. Я попробовал абсолютно все, но DKIM не работает.
Служба OpenDKIM не стартует:
root@mail:~# service opendkim status
● opendkim.service - OpenDKIM DomainKeys Identified Mail (DKIM) Milter
Loaded: загружено (/lib/systemd/system/opendkim.service; включено; предустановлено поставщиком: включено)
Active: активируется (запуск) с Сб 2022-01-08 19:39:15 CET; 59 секунд назад
Docs: man:opendkim(8)
man:opendkim.conf(5)
man:opendkim-genkey(8)
man:opendkim-genzone(8)
man:opendkim-testadsp(8)
man:opendkim-testkey
http://www.opendkim.org/docs.html
Process: 62335 ExecStart=/usr/sbin/opendkim -x /etc/opendkim.conf (код=выход, статус=0/УСПЕХ)
Tasks: 7 (лимит: 19660)
Memory: 2.7M
CGroup: /system.slice/opendkim.service
├─62336 /usr/sbin/opendkim -x /etc/opendkim.conf
└─62337 /usr/sbin/opendkim -x /etc/opendkim.conf
Янв 08 19:39:15 mail.mydomain.de systemd[1]: Запуск OpenDKIM DomainKeys Identified Mail (DKIM) Milter...
Янв 08 19:39:15 mail.mydomain.de systemd[1]: opendkim.service: Не удается открыть файл PID /run/opendkim/opendkim.pid (временно?) после запуска: Операция не разрешена
Янв 08 19:39:15 mail.mydomain.de opendkim[62337]: OpenDKIM Filter v2.11.0 запускается (аргументы: -x /etc/opendkim.conf)
Янв 07 13:32:59 mail.mydomain.de systemd[1]: Запуск OpenDKIM DomainKeys Identified Mail (DKIM) Milter...
Янв 07 13:32:59 mail.mydomain.de systemd[1]: Запущен OpenDKIM DomainKeys Identified Mail (DKIM) Milter.
Янв 07 13:32:59 mail.mydomain.de opendkim[275965]: OpenDKIM Filter v2.11.0 запускается (аргументы: -x /etc/opendkim.conf)
Янв 08 10:35:44 mail.mydomain.de systemd[1]: Остановка OpenDKIM DomainKeys Identified Mail (DKIM) Milter...
Янв 08 10:35:50 mail.mydomain.de systemd[1]: opendkim.service: Успешно.
Янв 08 10:35:50 mail.mydomain.de systemd[1]: Остановлен OpenDKIM DomainKeys Identified Mail (DKIM) Milter.
Вот мой /etc/opendkim.conf:
# Это базовая конфигурация, которую можно легко адаптировать под стандартную
# установку. Для более продвинутых опций смотрите opendkim.conf(5) и/или
# /usr/share/doc/opendkim/examples/opendkim.conf.sample.
# Логировать в syslog
Syslog yes
# Требуется для использования локального сокета с МТА, которые получают доступ к сокету как непривилегированный
# пользователь (например, Postfix)
UMask 002
# Подписывать для example.com с ключом в /etc/dkimkeys/dkim.key используя
# селектор '2007' (например, 2007._domainkey.example.com)
#Domain example.com
#KeyFile /etc/dkimkeys/dkim.key
#Selector 2007
# Распространенные опции; закомментированные версии показывают значения по умолчанию.
Canonicalization simple
Mode sv
SubDomains no
AutoRestart yes
AutoRestartRate 10/1M
Background yes
DNSTimeout 5
SignatureAlgorithm rsa-sha256
# Всегда подписывать From (подписывать с реальным From и пустым From для предотвращения
# злонамеренных подписей заголовков (From и/или других) между подписывающим
# и проверяющим. From подписывается по умолчанию в пакетах Debian,
# так как это часто ключ идентификации, используемый системами репутации и, следовательно,
# имеет некоторую чувствительность к безопасности.
OversignHeaders From
## ResolverConfiguration имя файла
## по умолчанию (нет)
##
## Указывает файл конфигурации, который будет передан библиотеке Unbound, которая
## выполняет DNS-запросы с применением протокола DNSSEC. См. документацию Unbound
## по адресу http://unbound.net для ожидаемого содержимого этого файла.
## Результаты использования этого и настройки TrustAnchorFile одновременно не определены.
## В Debian, /etc/unbound/unbound.conf поставляется как часть предложенного
## пакета unbound
# ResolverConfiguration /etc/unbound/unbound.conf
## TrustAnchorFile имя файла
## по умолчанию (нет)
##
## Указывает файл, из которого будут читаться данные доверенного якоря при выполнении
## DNS-запросов с применением протокола DNSSEC. См. документацию Unbound
## по адресу http://unbound.net для ожидаемого формата этого файла.
TrustAnchorFile /usr/share/dns/root.key
#Пользователь OpenDKIM
# Не забудьте добавить пользователя postfix в группу opendkim
UserID opendkim
# Сопоставление доменов в адресах From с ключами, использованными для подписания сообщений
KeyTable refile:/etc/opendkim/key.table
SigningTable refile:/etc/opendkim/signing.table
# Хосты, которые следует игнорировать при проверке подписей
ExternalIgnoreList /etc/opendkim/trusted.hosts
# Набор внутренних хостов, чья почта должна быть подписана
InternalHosts /etc/opendkim/trusted.hosts
Socket local:/var/spool/postfix/opendkim/opendkim.sock
Вот мой /etc/default/opendkim.conf
# Опции командной строки, указанные здесь, переопределят содержимое
# /etc/opendkim.conf. См. opendkim(8) для полного списка опций.
#DAEMON_OPTS=""
#
# Раскомментируйте, чтобы указать альтернативный сокет
# Обратите внимание, что установка этого переопределит любое значение Socket в opendkim.conf
# по умолчанию:
SOCKET="local:/var/spool/postfix/opendkim/opendkim.sock"
# слушать на всех интерфейсах на порту 54321:
#SOCKET="inet:54321"
# слушать на loopback на порту 12345:
#SOCKET="inet:12345@localhost"
# слушать на 192.0.2.1 на порту 12345:
#SOCKET="inet:[email protected]"
Вот мой master.cf:
#
# Конфигурационный файл основного процесса Postfix. Для деталей о формате
# файла смотрите справочную страницу master(5) (команда: "man 5 master" или
# онлайн: http://www.postfix.org/master.5.html).
#
# Не забудьте выполнить "postfix reload" после редактирования этого файла.
#
# ==========================================================================
# тип сервиса частный непривил chroot пробуждение макс. процессов команда + аргументы
# (да) (да) (нет) (никогда) (100)
# ==========================================================================
smtp inet n - y - - smtpd
#smtp inet n - y - 1 postscreen
#smtpd pass - - y - - smtpd
#dnsblog unix - - y - 0 dnsblog
#tlsproxy unix - - y - 0 tlsproxy
submission inet n - y - - smtpd
-o smtpd_enforce_tls=yes
-o smtpd_sasl_auth_enable=yes
-o smtpd_client_restrictions=permit_sasl_authenticated,reject
# -o syslog_name=postfix/submission
# -o smtpd_tls_security_level=encrypt
# -o smtpd_sasl_auth_enable=yes
# -o smtpd_tls_auth_only=yes
# -o smtpd_reject_unlisted_recipient=no
# -o smtpd_client_restrictions=$mua_client_restrictions
# -o smtpd_helo_restrictions=$mua_helo_restrictions
# -o smtpd_sender_restrictions=$mua_sender_restrictions
# -o smtpd_recipient_restrictions=
# -o smtpd_relay_restrictions=permit_sasl_authenticated,reject
# -o milter_macro_daemon_name=ORIGINATING
#smtps inet n - y - - smtpd
# -o syslog_name=postfix/smtps
# -o smtpd_tls_wrappermode=yes
# -o smtpd_sasl_auth_enable=yes
# -o smtpd_reject_unlisted_recipient=no
# -o smtpd_client_restrictions=$mua_client_restrictions
# -o smtpd_helo_restrictions=$mua_helo_restrictions
# -o smtpd_sender_restrictions=$mua_sender_restrictions
# -o smtpd_recipient_restrictions=
# -o smtpd_relay_restrictions=permit_sasl_authenticated,reject
# -o milter_macro_daemon_name=ORIGINATING
#628 inet n - y - - qmqpd
pickup unix n - y 60 1 pickup
cleanup unix n - y - 0 cleanup
qmgr unix n - n 300 1 qmgr
#qmgr unix n - n 300 1 oqmgr
tlsmgr unix - - y 1000? 1 tlsmgr
rewrite unix - - y - - trivial-rewrite
bounce unix - - y - 0 bounce
defer unix - - y - 0 bounce
trace unix - - y - 0 bounce
verify unix - - y - 1 verify
flush unix n - y 1000? 0 flush
proxymap unix - - n - - proxymap
proxywrite unix - - n - 1 proxymap
smtp unix - - y - - smtp
relay unix - - y - - smtp
-o syslog_name=postfix/$service_name
# -o smtp_helo_timeout=5 -o smtp_connect_timeout=5
showq unix n - y - - showq
error unix - - y - - error
retry unix - - y - - error
discard unix - - y - - discard
local unix - n n - - local
virtual unix - n n - - virtual
lmtp unix - - y - - lmtp
anvil unix - - y - 1 anvil
scache unix - - y - 1 scache
postlog unix-dgram n - n - 1 postlogd
#
# ====================================================================
# Интерфейсы для программного обеспечения, не относящегося к Postfix. Обязательно изучите справочные
# страницы программного обеспечения, не относящегося к Postfix, чтобы узнать, какие опции ему нужны.
#
# Многие из следующих служб используют代理 Postfix pipe(8). См. справочную страницу pipe(8) для информации о ${recipient}
# и других параметрах сообщения.
# ====================================================================
#
# maildrop. См. файл Postfix MAILDROP_README для подробностей.
# Также укажите в main.cf: maildrop_destination_recipient_limit=1
#
maildrop unix - n n - - pipe
flags=DRhu user=vmail argv=/usr/bin/maildrop -d ${recipient}
#
# ====================================================================
#
# Современные версии Cyrus могут использовать существующую запись master.cf "lmtp".
#
# Укажите в cyrus.conf:
# lmtp cmd="lmtpd -a" listen="localhost:lmtp" proto=tcp4
#
# Укажите в main.cf одну или несколько из следующих строк:
# mailbox_transport = lmtp:inet:localhost
# virtual_transport = lmtp:inet:localhost
#
# ====================================================================
#
# Cyrus 2.1.5 (Amos Gouaux)
# Также укажите в main.cf: cyrus_destination_recipient_limit=1
#
#cyrus unix - n n - - pipe
# user=cyrus argv=/cyrus/bin/deliver -e -r ${sender} -m ${extension} ${user}
#
# ====================================================================
# Старый пример доставки через Cyrus.
#
#old-cyrus unix - n n - - pipe
# flags=R user=cyrus argv=/cyrus/bin/deliver -e -m ${extension} ${user}
#
# ====================================================================
#
# См. файл Postfix UUCP_README для деталей конфигурации.
#
uucp unix - n n - - pipe
flags=Fqhu user=uucp argv=uux -r -n -z -a$sender - $nexthop!rmail ($recipient)
#
# Другие внешние методы доставки.
#
ifmail unix - n n - - pipe
flags=F user=ftn argv=/usr/lib/ifmail/ifmail -r $nexthop ($recipient)
bsmtp unix - n n - - pipe
flags=Fq. user=bsmtp argv=/usr/lib/bsmtp/bsmtp -t$nexthop -f$sender $recipient
scalemail-backend unix - n n - 2 pipe
flags=R user=scalemail argv=/usr/lib/scalemail/bin/scalemail-store ${nexthop} ${user} ${extension}
mailman unix - n n - - pipe
flags=FR user=list argv=/usr/lib/mailman/bin/postfix-to-mailman.py
${nexthop} ${user}
smtps inet n - y - - smtpd
-o smtpd_tls_wrappermode=yes
Вот мой /etc/postfix/main.cf:
# См. /usr/share/postfix/main.cf.dist для прокомментированной, более полной версии
# Специфика Debian: Указание имени файла приведет к тому, что первая
# строка этого файла будет использоваться в качестве имени. Значение по умолчанию для Debian
# это /etc/mailname.
#myorigin = /etc/mailname
smtpd_banner = $myhostname ESMTP
myhostname = mail.mydomain.de
biff = no
# добавление .domain является работой MUA.
append_dot_mydomain = no
# Раскомментируйте следующую строку, чтобы сгенерировать предупреждения о "задержанной почте"
#delay_warning_time = 4h
readme_directory = no
# См. http://www.postfix.org/COMPATIBILITY_README.html -- по умолчанию 2 при
# свежих установках.
compatibility_level = 2
message_size_limit = 10240000
# Параметры TLS
smtpd_tls_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem
smtpd_tls_key_file=/etc/ssl/private/ssl-cert-snakeoil.key
smtpd_tls_security_level=may
smtp_tls_CApath=/etc/ssl/certs
smtp_tls_security_level=may
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
smtpd_recipient_restrictions = permit_mynetworks, reject_unauth_destination, reject_non_fqdn_sender
# Конфигурация Milter
milter_default_action = accept
milter_protocol = 6
smtpd_milters = local:opendkim/opendkim.sock
non_smtpd_milters = $smtpd_milters
smtpd_sender_restrictions = permit_mynetworks, permit_sasl_authenticated
mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128
alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
myorigin = /etc/mailname
mydestination = localhost
relayhost =
smtpd_relay_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination
mailbox_command = procmail -a "$EXTENSION"
mailbox_size_limit = 0
recipient_delimiter = +
inet_interfaces = all
inet_protocols = all
#по пользовательским нуждам для kopano
virtual_alias_maps = hash:/etc/postfix/virtual
virtual_mailbox_maps = mysql:/etc/postfix/mysql-users.cf
virtual_transport = lmtp:[localhost]:2003
virtual_mailbox_domains = mydomain1.de, mydomain2.de
#
smtpd_tls_ciphers = medium
smtpd_tls_mandatory_ciphers = medium
tls_medium_cipherlist = ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384
smtpd_tls_mandatory_protocols = TLSv1.2
smtpd_tls_protocols = TLSv1.2
smtpd_tls_security_level = may
smtp_tls_security_level = may
smtp_use_tls = no
smtpd_client_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_rbl_client zen.spamhaus.org
smtp_send_xforward_command = yes
smtpd_authorized_xforward_hosts = 127.0.0.0/8 [::1]/128
smtpd_sasl_auth_enable = no
virtual_mailbox_base = /var/qmail/mailnames
virtual_uid_maps = static:30
virtual_gid_maps = static:31
Я вижу ту же проблему. У меня недостаточно репутации, чтобы оставить комментарий, поэтому оставляю наблюдение, не совсем ответ, который может помочь привести к лучшему ответу. Надеюсь.
Создание файла помогло запустить opendkim.
touch /run/opendkim/opendkim.pid
Затем я обнаружил, что вам нужно изменить владельца на файле, в котором я просто изменил владельца на всю папку.
chown -R opendkim /run/opendkim
Я думаю, проблема начинается с того, что файл затем снова меняет владельца на root, и в следующий раз, когда процесс запускается, я получаю ту же ошибку.
systemd[1]: opendkim.service: Не удается открыть файл PID /run/opendkim.pid (временно?) после запуска: Операция не разрешена
Так что, в основном, это выглядит как проблема с правами собственности, а до этого – проблема отсутствия файла.
Я все еще расследую, и у меня все еще, похоже, возникла проблема с тем, что сокет
local:/var/spool/postfix/opendkim/opendkim.sock не создается, и тогда postfix жалуется даже несмотря на то, что opendkim работает. Так что это многослойная проблема, с которой я разбираюсь, но решил добавить свое наблюдение.
О, и я использую Debian
После более тщательного расследования и прочтения комментариев выше я также убежден, что это не ошибка, которую можно игнорировать.
Вы запускаете свой Postfix в chroot:
SOCKET="local:/var/spool/postfix/opendkim/opendkim.sock"
Но systemd пытается проверить
/run/opendkim/opendkim.pid
Согласно этому ответу на Ask Ubuntu, файл PID для OpenDKIM может не понадобиться. Строка PidFile может вызвать проблемы и может быть удалена.
Попробуйте закомментировать строку PidFile.
opendkim.conf :
#PidFile /var/run/opendkim/opendkim.pid
Затем перезапустите и проверьте статус.
Это один из способов. Конечно, есть много других факторов в зависимости от того, что вам нужно добиться.
У меня была та же проблема, когда я выполнил systemctl status opendkim.
Решение заключалось в редактировании файла службы systemd, чтобы вручную записать файл PID с помощью ExecStartPost.
nano /lib/systemd/system/opendkim.service
[Unit]
Description=OpenDKIM Milter
Documentation=man:opendkim(8) man:opendkim.conf(5) man:opendkim-lua(3) man:opendkim-genkey(8) man:opendkim-genzone(8) man:opendkim-testkey(8) http://www.opendkim.org/docs.html
After=network.target nss-lookup.target
[Service]
Type=forking
PIDFile=/run/opendkim/opendkim.pid
ExecStart=/usr/sbin/opendkim
# вручную записать PID
ExecStartPost=/bin/echo $MAINPID > /run/opendkim/opendkim.pid
ExecReload=/bin/kill -USR1 $MAINPID
Restart=on-failure
User=opendkim
Group=opendkim
[Install]
WantedBy=multi-user.target
Затем
systemctl daemon-reload && \
systemctl restart opendkim
Ответ или решение
Возникающая у вас ошибка «Can’t open PID file /run/opendkim/opendkim.pid (yet?) after start: Operation not permitted» указывает на проблемы с доступом к PID-файлу для службы OpenDKIM на системе Ubuntu 20.04. Давайте разберем ситуацию более детально, чтобы найти решение.
Причины возникновения проблемы
-
Отсутствие файла PID: Описание проблемы указывает на то, что файл PID не существует или недоступен для записи. Это может произойти по нескольким причинам:
- Директория
/run/opendkim/может отсутствовать. - У службы OpenDKIM может не быть прав для создания файла PID в указанной директории.
- Директория
-
Проблемы с правами доступа: Если OpenDKIM не может создать PID-файл, это, скорее всего, связано с правами доступа. В файле конфигурации указан пользователь
opendkim, которому должны быть предоставлены соответствующие права на запись в эту папку. -
Настройки systemd: Система может иметь неправильные настройки для службы OpenDKIM, особенно если используется chroot. Это может привести к тому, что сервис не сможет получить доступ к необходимым ресурсам, включая файл PID.
Рекомендации по решению
1. Проверка и создание необходимой директории
Убедитесь, что директория /run/opendkim/ существует. Если она отсутствует, создайте ее и задайте необходимые права:
mkdir -p /run/opendkim/
chown opendkim:opendkim /run/opendkim/
chmod 755 /run/opendkim/2. Правильные права на PID файл
Если вы создали файл PID с помощью:
touch /run/opendkim/opendkim.pidЗатем предоставьте права:
chown opendkim:opendkim /run/opendkim/opendkim.pid3. Изменения в конфигурации OpenDKIM
Как было отмечено в ряде обсуждений, строка с PidFile может вызывать проблемы. Попробуйте закомментировать или удалить следующую строчку в конфигурационном файле /etc/opendkim.conf:
# PidFile /var/run/opendkim/opendkim.pid4. Настройка systemd
Если указанные шаги не помогли, отредактируйте системный файл службы OpenDKIM, чтобы дополнительно управлять PID-файлом. Откройте файл /lib/systemd/system/opendkim.service и добавьте команду ExecStartPost:
ExecStartPost=/bin/sh -c 'echo $MAINPID > /run/opendkim/opendkim.pid'Это позволит вручную записывать PID-файл после старта сервиса.
После внесения изменений выполните команды:
systemctl daemon-reload
systemctl restart opendkim5. Проверка состояния службы
После выполнения всех исправлений, проверьте статус службы:
systemctl status opendkimЕсли служба запускается без ошибок, это означает, что проблема решена.
Заключение
Полученная вами ошибка чаще всего связана с проблемами доступа к файлам и правами пользователя. Внимательное следование вышеизложенным шагам позволит вам корректно настроить OpenDKIM и избежать аналогичных ошибок в будущем. Не забывайте также периодически проверять логи, так как они могут дать дополнительную информацию для диагностики.
Если проблема не исчезает, возможно, стоит заглянуть в документацию или обратиться к сообществу за дополнительной поддержкой.