Nach der Konfiguration einer SPF-Policy und eines Spamfilters auf meinem Mailserver könnte ich mich entspannt zurücklehnen, wenn es nicht mit DKIM eine weitere Authentifizierungsmethode für E-Mail-Nachrichten gäbe, mit der ausgehende E-Mails signiert werden, in der Regel durch den versendenden Mailserver. In meinem Fall verweigert Posteo allerdings die Signatur, weil ich E-Mails zwar über ihren SMTP-Server, aber nicht von einer Posteo-Adresse versende. Die naheliegende Lösung ist eine lokale Signatur mit dkimpy nach dem Vorbild von Russell Ballestrini. Im Gegensatz zu Russell (und ähnlich wie 2ion) nimmt mein Signaturskript eine in mutt komponierte Nachricht entgegen, signiert sie und übergibt sie an msmtp. Die Signatur wird mittels eines öffentlichen Schlüssels verifiziert, der in einem weiteren DNS-Eintrag steckt:
s42._domainkey.eden.one 3600 IN TXT "v=DKIM1; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEArMgqIbMo+B909cNJvqhsL9Wo3ty2mIln/7Hf5iMNovY4ETjuHW4i0bGGSuli3tFLAoTepncp+UTHCO3t7cVHf7NzNFdSARfsIKGx/kce6dvZfZT/3sDUiZu7on1VQw1yhRQ6lbhlY0Qss4h4wqptnI/pMY+3cUxIT5SVMVZbJRUTyyO0aqZjb4gvLSkFZSEaWs6lnGoGQcCUB2NUbXsB+A2yNNcEaFoEe/7iQWBjQPd8vCEOXcN8i41MfyBi07PU3IC8/PpOp01vqcEEkonfK4jmvydJVcmGHTpELC8sRHiaX51Z+EBtscEg0EYGVQYMBSy9fLjHSfKVVmPXSICK5wIDAQAB;"
Leider geschieht zwischen der Signatur und der Ankunft der E-Mail auf dem Zielserver etwas mit dem E-Mail-Body, und der in der Signatur enthaltene body hash passt nicht mehr. Nach längeren Debugging-Versuchen und einem folgenlosen Hilferuf gebe ich auf und verzichte (vorerst) auf eine DKIM-Signatur.