メールを中継すると元のDKIM-Signatureが変わってしまい、 dkim=neutral (body hash did not verify)が出ます

example.comからgmailへメールを送るとdkim=passとなるのですが、
example.comからメーリングリスト（mailing.example.com)経由→gmail宛ては発信元のdkim=neutralになります。

gmail
元のメッセージ
メール ID	<20190208115425.7C0A.93B1EB5@example.com>
作成日:	2019年2月8日 11:54（53 秒後に配信済み）
From:	User <user@example.com> Becky! ver. 2.70 [ja] を使用
To:	test@mailing.example.com
件名:	[Test] testtest
SPF:	PASS（IP: 192.168.0.2）。詳細
DKIM:	'PASS'（ドメイン: example.com）詳細
DMARC:	'PASS' 詳細

とDKIMはPASSなのですが、これは中継するメーリングサーバのDKIMはPASSで送信元のDKIMはneutralになっているようです。
ヘッダーを見ると

gmail.comのヘッダー

ARC-Authentication-Results: i=1; mx.google.com;
       dkim=pass header.i=@mailing.example.com header.s=201902ms header.b=HVG5F01r;
       dkim=neutral (body hash did not verify) header.i=@example.com header.s=201902ss header.b=aTkldZW1;
       spf=pass (google.com: domain of test-bounces@mailing.example.com designates 192.168.0.5 as permitted sender) smtp.mailfrom=test-bounces@mailing.example.com;
       dmarc=pass (p=NONE sp=NONE dis=NONE) header.from=mailing.example.com
Return-Path: <test-bounces@mailing.example.com>
Received: from ccc.example.com 
        by mx.google.com with ESMTPS id h6si816746pgs.211.2019.02.07.18.55.02
        for <sasatue@gmail.com>
        (version=TLS1 cipher=AES128-SHA bits=128/128);
        Thu, 07 Feb 2019 18:55:02 -0800 (PST)
Received-SPF: pass (google.com: domain of test-bounces@mailing.example.com designates 192.168.0.5 as permitted sender) client-ip=192.168.0.5;
**Authentication-Results: mx.google.com;
       dkim=pass header.i=@mailing.example.com header.s=201902ms header.b=HVG5F01r;
       dkim=neutral (body hash did not verify) header.i=@example.com **header.s=201902ss header.b=aTkldZW1;
       spf=pass (google.com: domain of test-bounces@mailing.example.com designates 192.168.0.5 as permitted sender) smtp.mailfrom=test-bounces@mailing.example.com;
       dmarc=pass (p=NONE sp=NONE dis=NONE) header.from=mailing.example.com
Received: from [127.0.0.1] (localhost [127.0.0.1]) by ccc.example.com (Postfix) with ESMTP id 6E632574020 for <user@gmail.com>; Fri,
  8 Feb 2019 11:55:29 +0900 (JST)
DKIM-Signature: v=1; a=rsa-sha256; c=simple/simple; d=mailing.example.com; s=201902ms; t=1549594529; bh=Ag1sjVoEZdo0LK3gcOELC4iCipcjsiSPVbikXzMsvvQ=; h=Date:To:MIME-Version:Message-ID:From:Subject:Reply-To:List-Id:
	 List-Unsubscribe:List-Archive:List-Post:List-Help:List-Subscribe:
	 Content-Type:Sender; b=HVG5F01rtbeaY2fcLvRiwE5DiWtw6dR22eoAqYHSyHWz5shTyuS413rkqwdRpBRx+
	 Ngm6PLNK3wj+9X9dNRZ4FheC3pwlAvO2zKEIJYMRFwsxtdFBZEmLiA+k8KirbAmdNX
	 8BfCuKRRES/kmF2ZZhVioKbBuAkZ/2D9BSS5O8xUA+vYFJfV5m43TCjD+jCGRhqkTO
	 32ltU9MTuVWEnqGtHgxdEaJHzxtdEWYE/eYIaKImu5O2thBXYxAJI0spN6tq+KHuk7
	 tosFQH1r4686jw0lSX/7uRyuyUdK3WEFwVRY0ITxLDdUyQTQC6sCXsOlTFxED8kBiM
	 Lv1kpaMwCNMgw==
Authentication-Results: ccc.example.com; dkim=pass (2048-bit key; insecure key) header.i=@example.com; dkim-adsp=pass
DKIM-Filter: OpenDKIM Filter v2.11.0 ns.example.jp CCCB940645C2
__Authentication-Results: ns.example.jp; dkim=pass (2048-bit key) header.d=example.com header.i=@example.com__ header.b="aTkldZW1"
Date: Fri, 08 Feb 2019 11:54:10 +0900
DKIM-Signature: v=1; a=rsa-sha256; c=simple/simple; d=example.com; s=201902ss; t=1549594652; bh=DXfLic7YukfHdRophIeOfibtWZT60ah5qidcHPFfb2c=; h=From:To:Subject:Message-Id:MIME-Version:Content-Type: Content-Transfer-Encoding; **b=aTkldZW1aJnEtLVxLOIE9oP4TD6bSm19YymvGG3O2XBMuw6sObnjb549mTQObaCv4 o9dIAAFqvYASRDQb0HuNv/z/qj2a54kWdcwilGRMoK5A6SZOLHndqMKwT7mIQijC+n ImDvV2jBSn/rH4Z0ndofDCkOFr2PxNzJ2URa8aAPmwsgaygRXgdEq+IkszrftjU2xT HStmY7s3JeR14jUMs92idhGmVlLucZWAFC2iiVsaAxTkBrA5Oosjsh4NxI561J0YH+ 7vjIFfke1dD4NFBk1HbQ+f9Ow2A4ATGH/P+FQNByPW201d0PBfXoHE7ni9edjxFJTk tSWHaM6iVQaMg==**

これを見ると中継すると発信元で付けられたDKIM-Signatureの改行コードが変わってしまっています。調べてみると
サイトにはdkim=neutralの原因は改行コードにあるとありますが、確かにそのようです。
そこでmalingサーバーのpostfixのmain.cf
sendmail_fix_line_endings (default: always)の値を変えてみましたが、結果は同じでした。
本件では改行コードが違うのではなく、とれてしまっているようです。
example.com→postfix2.7
mailing.example.com　→postfix2.10です。
なにか対策はないでしょうか。よろしくお願いします。

対策

ご教授により、opendkim.confに以下を追記しました。

RemoveOldSignatures yes

発信元の認証鍵がヘッダーに現れなくなり、gmail側もこの分については認証確認しなくなりました。この設定による副作用的なものはないかわかりません。
サイト上でRemoveOldSignatures に関する記述はほとんどありません。

行動規範の内容に同意します

回答1件

ベストアンサー

メーリングリストサーバで転送時に再署名は出来ませんか？

投稿2019/02/08 11:22

scsi

総合スコア2840

sasa56563

2019/02/08 11:44

ありがとうございます。メーリングサーバの署名はしています。が発信元の署名を付け替える方法はわかりません。

sasa56563

2019/02/08 12:37

自分で質問をしておいてなんなんですが、そもそも受信側は直接発信したメールサーバ(アドレス)の認証によってPASSか否かを判定しているのであって、メーリングリストへの発信元となる投稿者のメールアドレスの認証は意味がないのではと考えます。事実、gmailはDKIMのPASSはメーリングサーバに対して行っており、発信元のアドレスについてはメーリングサーバがPASS認証していることがヘッダーからわかります。要はDMARCのレベルを上げても問題がないかというこで、メーリングリストの発信元のアドレスまで認証させる必要はないのではと考えるのですが、いかがでしょう。

scsi

2019/02/08 12:40

ああ、自管理外のアドレスをfromにしても送信できるmlなのですね。自管理外なら再署名出来ないしする必要もないです。 envelope fromを書き換えてspf対応が出来てればいいと思います。

sasa56563

2019/02/08 12:54

あくまでfromは管理するドメインアドレスです。例でいえばmailing.example.comとしています。再署名という意味がはき違えているのかもしれませんが、メーリングサーバはmailing.example.comの署名を付けていますし、その認証はgmailでもPASSになっています。要は発信元の署名がgmailでもPASSしなければならないかということです。

scsi

2019/02/08 13:08

理解しました。発信元の署名は転送なのでpassしないのが普通です。私がそのmlの管理者ならopendkimで古いシグネチャを削除します。RemoveOldSignatures yes を設定すればよいと思います。

sasa56563

2019/02/08 13:11

ARC-Authentication-Results: i=1; mx.google.com; dkim=pass header.i=@mailing.example.com dkim=neutral (body hash did not verify) header.i=@example.com の２つめを気にしていたのですが、ドメイン認証の問題点と解決案 https://www.mew.org/~kazu/doc/antispam/ を読んでいて特にこだわることもないのではと考えた次第です。

sasa56563

2019/02/08 13:15

ありがとうございます。 >>RemoveOldSignatures yes を設定すればよいと思います。そうさせていただきます。

scsi

2019/02/11 02:29

すいません、opendkimで出来るかは分かりませんが、署名対象のヘッダーを取捨選択すればpassすることもできるかもしれません。今rspamdというmilterで実験中です。

行動規範の内容に同意します