opendkim: properly create tmpdir; use DNSSEC
authorRalf Jung <post@ralfj.de>
Sun, 20 May 2018 20:16:35 +0000 (22:16 +0200)
committerRalf Jung <post@ralfj.de>
Sun, 20 May 2018 20:16:35 +0000 (22:16 +0200)
roles/email/tasks/opendkim.yml
roles/email/templates/opendkim.conf

index 1ac9e5a4509a2bd8e2df091b17b7d3b17ba16ae3..c56d6f566b5f4465e0ef4d60b702819eabca4a12 100644 (file)
     src: templates/opendkim.env
 - name: regenerate opendkim service
   when: opendkim_env.changed
-  shell: /lib/opendkim/opendkim.service.generate && systemctl daemon-reload
+  shell: /lib/opendkim/opendkim.service.generate && systemctl daemon-reload && systemd-tmpfiles /etc/tmpfiles.d/opendkim.conf --create
   notify: opendkim
 # tables
+- name: create opendkim dir
+  file: name=/etc/opendkim state=directory owner=opendkim
 - name: generate opendkim keys
   shell: mkdir /etc/opendkim/{{ item }}/ && opendkim-genkey --bits=2048 -s mail -d {{ item }} -D /etc/opendkim/{{ item }}/
+  become_user: opendkim
   args:
     creates: /etc/opendkim/{{ item }}/mail.private
     warn: False
index 6e4d8128e057f11aa65638be9e25470d6f4232bc..6fccfc29393a1fea1eaca2f1d93712d8c3ce5019 100644 (file)
@@ -28,3 +28,11 @@ SenderHeaders                Sender,From
 # because it is often the identity key used by reputation systems and thus
 # somewhat security sensitive.
 OversignHeaders                From
+
+##      default (none)
+##
+## Specifies a file from which trust anchor data should be read when doing
+## DNS queries and applying the DNSSEC protocol.  See the Unbound documentation
+## at http://unbound.net for the expected format of this file.
+
+TrustAnchorFile       /usr/share/dns/root.key