[SOLVED] Beherrscht PMG v9.0.6 kein ARC-Signing?

[a.woll]

Hallo Kollegen,

ich hab zwar DKIM, DMARC und SPF optimal eingerichtet, würde aber gerne DKIM-Brüchen vorbeugen, indem PMG auch ein ARC-Signing durchführt.

Ist das möglich oder unterstützt PMG das nicht (mehr)?

Freundliche Grüße
Andreas

 

[Stoiko Ivanov]

Ist derzeit (noch) nicht implementiert - siehe: https://bugzilla.proxmox.com/show_bug.cgi?id=4651

steht auf unserer TODO list - aber ich kann nicht versprechen wann wir dazu kommen es zu implementieren.
Ich hoffe das hilft!

 

[a.woll]

Danke. Ja.

 

[paase84]

auch wenn es solved ist.
ARC kann man gut auf einem linux server (postfix mit rspamd) machen.

ich hab dazu eine
/etc/rspamd/local.d/arc.conf erstellt.

sign_local = true;
try_fallback = true;
sign_symbol = "ARC_SIGNED";

# Empfohlene Headerliste für ARC
sign_headers = "(o)from:(o)sender:(o)reply-to:(o)subject:(o)date:(o)message-id:(o)to:(o)cc:(o)mime-version:(o)content-type:(o)content-transfer-encoding:resent-to:resent-cc:resent-from:resent-sender:resent-message-id:(o)in-reply-to:(o)references:list-id:list-owner:list-unsubscribe:list-subscribe:list-post:dkim-signature"

  ptbos.de {
   path = "/var/lib/rspamd/dkim/ptbos_2025.key";
    selector = "ptbos_2025";
  }

eine
/etc/rspamd/local.d/external_relay.conf

enabled = true;

rules {
  TRUSTED_PMG {
    strategy = "ip_map";
    priority = 10;
    ip_map = "/etc/rspamd/local.d/maps.d/pmg_ips.map";
  }
}

in /etc/rspamd/local.d/maps.d/pmg_ips.map die IP vom PMG server und locahost. dann macht der mailserver ARC.


_dmarc record und so müssen im DNS natürlich vorhanden sein.

 

[paase84]

Ich muss hier nochmal stören.
Ich hab mal was gebaut, um PMG ARC beizubringen.
Ich nenn´ es liebevoll pyarc.

Es prüft ob ARC-Ketten vorhanden sind, wenn nicht wird eine für die aktuelle Mail erstellt.
kein großer aufwand um das einzubinden, allerdings nur Debian Trixie getestet.
Sowohl eingehend als auch ausgehend. Es ist Multidomain fähig.
Es liegt auf meinem gitea, vielleicht schiebe ich das noch auf github. Mal schauen.


-> pyarc <-

 

[a.woll]

Vielen Dank @paase84 .
Ich schau mal, ob ich das auf unserer Produktiv-Instanz einsetzen kann.
Ich muss immer etwas aufpassen, damit Customizings auch update-resilient sind. Gelingt mir nicht immer.

 

[w4rl0xX]

Ich muss hier nochmal stören.
Ich hab mal was gebaut, um PMG ARC beizubringen.
Ich nenn´ es liebevoll pyarc.

Es prüft ob ARC-Ketten vorhanden sind, wenn nicht wird eine für die aktuelle Mail erstellt.
kein großer aufwand um das einzubinden, allerdings nur Debian Trixie getestet.
Sowohl eingehend als auch ausgehend. Es ist Multidomain fähig.
Es liegt auf meinem gitea, vielleicht schiebe ich das noch auf github. Mal schauen.


-> pyarc <-

Danke fürs Teilen!

Gute Idee es auch als postfix-Milter zu bauen, den kann man dann natürlich auch unabhängig vom PMG einsetzen. Ich will natürlich nichts unterstellen, dennoch sehen die ReadMe und die Kommentare in dem Code AI-generiert aus, woraus man schließen könnte dass hier ggf. auch mehr Teile des Codes generiert sein könnten. Das ist auch per sé nicht schlimm, allerdings wäre dann in der ReadMe ein Disclaimer ganz gut und vielleicht ein Hinweis wie weit der Code von dir geprüft wurde.

Wir haben bisher versucht es mit openarc zu ergänzen, aber das klappt leider bisher nicht ganz so toll. Eventuell teste ich deine Lösung daher auch mal!

MfG