Docker-Mailserver中ARC与Rspamd集成实现邮件转发认证的最佳实践

摘要

本文深入探讨了在Docker-Mailserver中通过Rspamd实现Authenticated Received Chain（ARC）协议的技术方案，解决邮件转发过程中的认证失效问题。文章包含配置详解、常见问题排查以及性能优化建议，适用于中高级邮件系统管理员。

技术背景

ARC协议作为DMARC的补充协议，专门解决邮件转发场景中的认证断裂问题。当邮件服务器转发第三方邮件时，传统SPF/DKIM校验会因路径变化而失效，ARC通过建立认证传递链（Authentication-Results），允许下游服务器识别合法的转发行为。

核心配置

1. 基础模块启用

在Rspamd中启用ARC模块需创建/etc/rspamd/local.d/arc.conf配置文件，关键参数如下：

# 认证控制
sign_authenticated = true
sign_local = true  # Docker网络环境下必须启用
sign_inbound = true

# 域名处理
use_domain = "recipient"
use_esld = true  # 启用顶级域名标准化

# 密钥配置
selector = "mail"
path = "/tmp/docker-mailserver/rspamd/dkim/$domain/$selector.private"

2. DKIM协同配置

需确保DKIM签名模块正常工作，建议配置：

# /etc/rspamd/override.d/dkim_signing.conf
enabled = true
sign_authenticated = true
allow_hdrfrom_mismatch = true
check_pubkey = false  # 生产环境建议设为true

实现原理

ARC工作机制包含三个核心标头：

1. ARC-Seal：完整性校验签名
2. ARC-Message-Signature：邮件内容签名
3. ARC-Authentication-Results：记录历史认证结果

当邮件经过Docker-Mailserver转发时，Rspamd会：

1. 验证原始邮件的SPF/DKIM
2. 生成新的ARC标头记录验证结果
3. 使用服务器私钥对整套信息签名

典型问题排查

案例1：ARC标头未生成

• 现象：转发邮件缺少ARC标头
• 排查步骤：
  1. 检查rspamadm configdump arc输出
  2. 验证DKIM密钥路径权限（需rspamd用户可读）
  3. 查看日志过滤lua_dkim_tools错误

案例2：Gmail仍拒收邮件

• 现象：显示arc=fail或认证未通过
• 解决方案：
  • 确保IPv6配置正确（影响网络身份识别）
  • 测试SPF记录包含转发服务器IP
  • 增加sign_networks参数明确可信IP段

性能优化建议

1. Redis集成：对高负载环境建议启用Redis缓存

   use_redis = true
   key_prefix = "ARC_KEYS"
   

2. 选择性签名：通过sign_networks限制签名范围
3. 密钥轮换：建立定期密钥更新机制

注意事项

1. Docker网络环境下必须设置sign_local = true
2. 测试阶段建议启用调试日志：

   rspamadm configwizard -enable_debug
   

3. 生产环境应确保DKIM公钥通过DNS正确发布

结语

通过合理配置ARC协议，Docker-Mailserver可有效解决邮件转发导致的认证中断问题。建议管理员结合实际网络环境进行针对性调优，并定期检查ARC验证结果日志，以维持邮件系统的稳定运行和良好信誉。

提示：本文配置基于Docker-Mailserver v13，部分参数在新版本中可能已优化，建议参考最新官方文档。