Docker-Mailserver 中跨域别名地址的 DKIM 签名问题解析

问题背景

在使用 Docker-Mailserver 项目搭建邮件服务器时，管理员发现了一个关于 DKIM 签名的特殊现象：当使用跨域别名地址发送邮件时，这些邮件未能获得 DKIM 签名，而同一域名下的别名地址则能正常签名。

技术细节分析

1. DKIM 签名机制

DKIM (DomainKeys Identified Mail) 是一种电子邮件认证方法，通过在邮件头部添加数字签名来验证邮件确实来自声称的域名，且在传输过程中未被篡改。在 Docker-Mailserver 中，这一功能由 rspamd 模块实现。

2. 跨域别名的工作方式

当配置了跨域别名（如 test@example.com 映射到主域名 c0d3m4513r.com 的邮箱）时，邮件系统需要处理以下特殊情况：

• 发件人地址显示为跨域别名（test@example.com）
• 实际发件认证使用的是主域名账户
• 邮件路由需要通过主域名服务器

3. 问题根本原因

rspamd 的 DKIM 签名模块默认配置下存在以下限制：

• allow_username_mismatch 参数默认为 false
• 当发件人地址域名与认证账户域名不一致时，会拒绝签名
• 这种设计原本是为了防止未授权的域名签名

解决方案

1. 修改 rspamd 配置

在 /tmp/docker-mailserver/rspamd/override.d/dkim_signing.conf 文件中，可以调整以下参数：

allow_username_mismatch = true;

这一设置将允许：

• 认证用户发送显示不同域名的邮件
• 跨域别名邮件获得主域名的 DKIM 签名
• 保持其他安全限制不变

2. 安全性考量

虽然这一调整看似降低了安全限制，但实际上：

• 邮件仍需通过主域认证才能发送
• 只是允许显示的发件人地址与认证域名不同
• 不会影响 SPF 等其他反垃圾邮件机制
• 不会允许任意用户伪造他人邮件

最佳实践建议

1. 明确签名策略：确定是否所有跨域别名都应获得签名
2. 细化域名配置：在 domain {} 块中为每个需要签名的域名明确指定密钥路径
3. 监控日志：调整后应检查邮件日志确保签名行为符合预期
4. 测试验证：使用在线 DKIM 验证工具测试调整后的签名效果

技术延伸

理解这一问题的关键在于区分邮件系统中的三个概念：

1. 认证身份：SMTP 会话中实际登录的用户
2. 发件人地址：邮件头部显示的 From 地址
3. 签名域名：用于 DKIM 签名的域名

在跨域别名场景下，这三个值可能各不相同，而 rspamd 的默认配置更倾向于三者严格匹配的安全模式。通过适当调整，可以在保持安全性的同时满足业务需求。

对于邮件系统管理员而言，合理配置这些参数需要在安全防护和业务功能之间找到平衡点。