Rspamd模糊存储多密钥配置问题解析

问题背景

在Rspamd的模糊存储(worker-fuzzy)功能中，管理员经常需要配置多个密钥对以支持不同客户端的安全连接。然而，在实际使用中发现，当在配置文件中添加多个密钥对时，只有第一个密钥对能够正常工作，其余密钥对会导致连接失败。

问题表现

当管理员在worker-fuzzy.conf配置文件中添加多个密钥对并启用encrypted_only = true选项时，会出现以下现象：

1. 只有配置文件中第一个密钥对能够建立正常连接
2. 使用其他密钥对的客户端会收到IO超时错误
3. 服务器端会记录"decryption failed"和"invalid fuzzy command"错误日志

根本原因

经过分析，问题的根源在于配置文件的语法格式。Rspamd实际上期望密钥对以列表(list)形式配置，而不是重复的keypair块。正确的配置格式应该是：

keypair = [
  {
    pubkey = "..."
    privkey = "..."
  },
  {
    pubkey = "..."
    privkey = "..."
  }
]

而文档中展示的重复keypair块的写法是错误的，这导致了配置解析时只识别第一个密钥对。

解决方案

要解决这个问题，管理员需要：

1. 将配置文件中的多个keypair块改为单个keypair列表
2. 每个密钥对作为列表中的一个元素
3. 确保每个密钥对都包含完整的pubkey和privkey信息

最佳实践

1. 使用rspamadm configdump命令验证配置是否正确解析
2. 为每个客户端生成独立的密钥对，增强安全性
3. 定期轮换密钥对，特别是在人员变动时
4. 测试每个密钥对的连接性，确保所有配置都生效

配置示例

以下是正确的多密钥对配置示例：

worker "fuzzy" {
  bind_socket = "localhost:11335";
  count = 4;
  backend = "sqlite";
  encrypted_only = true;
  
  keypair = [
    {
      pubkey = "第一个公钥内容";
      privkey = "第一个私钥内容";
      id = "client1";
      algorithm = "curve25519";
    },
    {
      pubkey = "第二个公钥内容";
      privkey = "第二个私钥内容";
      id = "client2";
      algorithm = "curve25519";
    }
  ];
}

总结

Rspamd的模糊存储功能支持多密钥对配置，但需要采用正确的列表语法格式。管理员在配置时应注意遵循正确的语法规范，并通过工具验证配置是否正确解析。这一问题的发现也提醒我们，在参考文档时应保持谨慎，必要时通过实际测试验证功能行为。