Mailcow邮件系统中DKIM签名失效问题深度解析

问题现象描述

在使用Mailcow邮件系统时，管理员发现一个特殊现象：通过SOGo或认证SMTPS发送的邮件能够正常进行DKIM签名，但通过未认证中继(25端口)发送的邮件却缺失DKIM签名。这种不一致行为在切换自MailU系统后尤为明显，因为MailU在相同配置下能够正确处理DKIM签名。

技术背景分析

DKIM(DomainKeys Identified Mail)是一种电子邮件认证技术，通过在邮件头添加数字签名，让接收方可以验证邮件确实来自声称的域名且未被篡改。在Mailcow架构中，DKIM签名工作主要由rspamd组件负责。

Mailcow默认配置中，rspamd只会对通过认证的邮件进行DKIM签名。这是出于安全考虑的设计选择，因为未认证的邮件流可能被滥用。rspamd的签名规则定义在dkim_signing.conf配置文件中，其中明确指定了只对特定条件的邮件进行签名。

问题根源探究

经过深入排查，发现问题源于管理员在"Forwarding hosts"设置中同时启用了"Disable Spam Filter"选项。这个设置会导致来自指定网络的邮件完全绕过rspamd处理流程，从而也跳过了DKIM签名环节。

关键点在于：

1. 转发主机设置中的"禁用垃圾邮件过滤"是全局性的
2. 该设置不仅跳过了垃圾邮件检测，也跳过了所有rspamd处理环节
3. DKIM签名作为rspamd的功能之一也被一并跳过

解决方案与最佳实践

要解决这个问题，有以下几种方法：

1. 调整转发主机设置：

   • 保留网络在"Forwarding hosts"列表中
   • 取消勾选"Disable Spam Filter"选项
   • 这样邮件仍会通过rspamd处理，但来自可信网络的邮件会有不同的评分标准

2. 修改rspamd配置：

   • 编辑dkim_signing.conf文件
   • 添加需要签名的特定网络范围
   • 这种方法需要手动维护配置，升级时需要注意保留修改

3. 使用认证发送：

   • 尽可能使用587端口(SMTPS)发送邮件
   • 这种方法安全性最高，是推荐的实践

系统架构启示

这个案例揭示了Mailcow安全设计的几个重要特点：

1. 模块化设计：各功能模块(rspamd、Postfix等)有明确的职责划分
2. 安全优先：默认不信任未认证的邮件流
3. 配置关联性：看似无关的设置可能产生意想不到的相互影响

管理员在调整系统配置时，需要充分理解各组件间的交互关系，避免因单一功能的调整而影响其他相关功能。

总结

Mailcow邮件系统中DKIM签名失效的问题，本质上是安全策略与功能需求间的平衡问题。通过理解系统架构和组件交互原理，管理员可以做出合理的配置选择，既保证邮件安全传递，又确保必要的认证功能正常运作。这也提醒我们，在生产环境中修改配置前，应该充分测试各项相关功能，确保系统行为的完整性和一致性。