Docker-Mailserver中Sieve拒绝邮件未进行DMARC签名的问题分析

问题概述

在使用Docker-Mailserver邮件服务器时，通过Sieve脚本拒绝邮件时发现了一个问题：当系统尝试退回邮件时，这些退回邮件没有被正确地进行DMARC签名，导致被接收方服务器拒绝。

技术背景

DMARC（Domain-based Message Authentication, Reporting & Conformance）是一种电子邮件认证协议，它帮助域名所有者防止其域名被用于电子邮件欺骗。当邮件服务器发送邮件时，应该对发出的邮件进行DKIM签名，这是DMARC验证的重要组成部分。

问题现象

用户配置了一个简单的Sieve脚本来拒绝特定邮件：

require ["reject"];
reject "Your E-Mail has not been delivered, Error 5487";

当这个脚本执行时，系统会生成一个退回邮件，但日志显示：

opendkim[135]: no signing table match for 'postmaster@mx.example.com'
opendkim[135]: no signature data

最终导致退回邮件被Gmail服务器拒绝，错误信息表明"Unauthenticated email from example.com is not accepted due to domain's DMARC policy"。

问题根源

通过分析日志和配置，发现问题的根本原因是系统默认使用了"postmaster@mx.example.com"作为退回邮件的发件人地址，而这个地址：

1. 不在DKIM签名表中
2. 不是用户配置的有效地址

用户实际配置的别名是"postmaster@example.com"，但系统默认使用了包含"mx"子域的形式。

解决方案

用户通过设置以下环境变量解决了这个问题：

POSTMASTER_ADDRESS="postmaster@example.com"

这个设置确保了：

1. 退回邮件使用正确的发件人地址
2. 该地址在DKIM签名表中
3. 符合DMARC策略要求

最佳实践建议

1. 明确设置POSTMASTER_ADDRESS：在Docker-Mailserver配置中，应该明确设置POSTMASTER_ADDRESS环境变量，指向一个有效的、已配置的邮箱地址。

2. 确保DKIM签名配置：确认设置的POSTMASTER_ADDRESS地址包含在DKIM签名表中，可以通过检查opendkim的配置实现。

3. 测试DMARC合规性：在部署前，使用专门的DMARC测试工具验证退回邮件的签名状态。

4. Sieve脚本谨慎使用：使用reject动作时要特别注意，因为它会生成系统退回邮件，这些邮件需要符合所有发件认证要求。

总结

这个问题展示了电子邮件系统中认证机制的重要性。即使是系统自动生成的邮件，也必须符合DMARC等安全协议的要求。通过正确配置POSTMASTER_ADDRESS，可以确保系统生成的各类通知和退回邮件都能通过接收方的安全验证，保证邮件系统的正常运作。

对于使用Docker-Mailserver的管理员来说，这是一个很好的提醒：在配置邮件服务器时，不仅要关注收件功能，还要确保系统生成邮件的发件配置完整且合规。