Froxlor邮件系统中子域名DKIM签名问题的解决方案

问题背景

在Froxlor邮件系统（版本2.2.6）中，当管理员为子域名（如some-name.domain.tld）配置邮件服务时，系统会出现一个关于DKIM（DomainKeys Identified Mail）签名的技术问题。虽然邮件收发功能正常运作，但系统无法为子域名邮件正确添加DKIM签名。

技术原理分析

DKIM是一种电子邮件认证方法，通过在邮件头添加数字签名来验证邮件确实来自声称的域名且内容未被篡改。在Froxlor的标准配置中，系统会为每个邮件域名生成专用的DKIM密钥对，并将公钥发布到DNS记录中。

问题现象

当用户从子域名邮箱（如some-inbox@some-domain.domain.tld）发送邮件时：

1. 邮件正常发送但缺少DKIM签名
2. Rspamd日志显示系统错误地尝试加载根域名的密钥文件（domain.tld.dkim.key）
3. 实际应为子域名生成和使用的密钥文件（some-domain.domain.tld.dkim.key）

根本原因

Rspamd默认配置中的use_esld参数设置为true，这导致系统在处理域名时自动提取顶级域（eSLD，effective Second-Level Domain）。对于子域名邮件，这种处理方式会导致系统错误地寻找根域名的DKIM密钥。

解决方案

在Froxlor 2.2.7版本中，开发团队通过修改Rspamd的配置文件解决了此问题。具体方案是在/etc/rspamd/local.d/dkim_signing.conf配置文件中添加：

use_esld = false

这一配置变更使得Rspamd在处理域名时保留完整的子域名信息，从而能够正确加载对应子域名的DKIM密钥文件。

实施建议

对于遇到此问题的管理员：

1. 升级到Froxlor 2.2.7或更高版本
2. 如需手动修复，可编辑上述配置文件并添加指定参数
3. 确保为子域名正确生成DKIM密钥对
4. 验证DNS记录中包含子域名的DKIM公钥

技术意义

这一改进增强了Froxlor对复杂域名架构的支持能力，特别是：

• 多级子域名邮件系统
• 企业分部门邮件服务
• 托管服务提供商的邮件解决方案

同时保证了邮件认证机制的完整性和安全性，符合现代电子邮件安全标准。

后续维护

系统管理员应定期检查：

1. 各子域名的DKIM签名状态
2. Rspamd日志中的相关错误
3. DNS记录中的公钥有效性
4. 系统配置文件的完整性