如何在保持 DKIM 签名完整的前提下实现原始邮件体零修改转发

本文详解如何在 Laravel + Postfix 邮件转发场景中，不重写、不解析、不重建邮件体，仅修改 SMTP envelope（如 Return-Path 以支持 SRS），原样转发原始 RFC 5322 邮件，从而确保 DKIM 签名持续有效、DMARC 策略不被破坏。

本文详解如何在 laravel + postfix 邮件转发场景中，**不重写、不解析、不重建邮件体**，仅修改 smtp envelope（如 return-path 以支持 srs），原样转发原始 rfc 5322 邮件，从而确保 dkim 签名持续有效、dmarc 策略不被破坏。

在构建合规的邮件转发服务（尤其是需支持 SRS（Sender Rewriting Scheme）以缓解退信问题）时，一个核心挑战是：任何对原始邮件正文（body）或头部（headers）的微小改动——包括空行增删、边界（boundary）重生成、换行符标准化（CRLF vs LF）、甚至 MIME 结构重组——都会导致 DKIM 签名验证失败，进而触发 DMARC p=reject 策略，使转发邮件被拒收。

根本原因在于：DKIM 的 bh=（body hash）字段是对邮件正文（从第一个空行后开始，按规范规范化处理后的字节流）进行 SHA256 哈希计算所得。而像 PhpMimeMailParser + Swift_Mailer 这类“解析-重构”链路，本质上是将原始邮件反序列化为对象，再序列化为新邮件——这一过程必然引入不可控变异（如自动补空行、重排头字段顺序、标准化 MIME boundary、强制 CRLF 换行等），彻底破坏原始哈希。

✅ 正确路径不是“重建邮件”，而是 “透传原始字节流” + “仅劫持 envelope”。

✅ 推荐方案：Postfix 原生 SRS + raw pipe 透传（零 DKIM 破坏）

Laravel 应用通过 Postfix 的 pipe 机制接收原始邮件（即完整 RFC 5322 格式文本，含所有 headers 和 body），此时你拥有未经任何 PHP 解析污染的原始字节流。关键在于：不交给任何 PHP MIME 库处理，而是直接复用该原始内容，并仅通过 SMTP envelope 层替换 Return-Path。

最佳实践如下：

MedPeer自然科学基金

科研申报与成果分析的智能数据引擎

下载

1. 启用 Postfix 内置 SRS 支持（推荐）
   使用 postfix-srs 或 opensrs 补丁版 Postfix。它在 MTA 层完成 SRS 重写（修改 envelope sender），全程不触碰邮件内容体，DKIM 完全保留。配置示例：

   # /etc/postfix/main.cf
   sender_canonical_maps = tcp:127.0.0.1:10001
   sender_canonical_classes = envelope_sender

   并部署 SRS daemon（如 srsd）监听 10001 端口。此方案完全规避 PHP 层转发逻辑，最安全、最高效。

2. 若必须由 PHP 控制转发（如需业务逻辑路由）：使用 raw socket 直连 Postfix LMTP/SMTP（非 Swift Mailer）
   如问题中所述，fsockopen + SMTP 协议手动发送是最可靠方式。但需注意：必须禁用所有自动编码/换行处理，以二进制模式发送原始字节。示例关键代码：

   $rawEmail = file_get_contents('php://stdin'); // 从 Postfix pipe 获取原始邮件
   
   $fp = fsockopen('127.0.0.1', 25, $errno, $errstr, 30);
   if (!$fp) throw new RuntimeException("SMTP connect failed: $errstr");
   
   // 发送 SMTP envelope（仅此处修改 Return-Path）
   fwrite($fp, "MAIL FROM:<srs0=example.com=sender@domain.com>\r\n");
   fwrite($fp, "RCPT TO:<recipient@example.net>\r\n");
   fwrite($fp, "DATA\r\n");
   
   // ⚠️ 关键：原样发送 rawEmail，不作任何字符串处理
   fwrite($fp, $rawEmail); 
   fwrite($fp, "\r\n.\r\n"); // SMTP 结束标记
   
   fclose($fp);

   ✅ 优势：零 MIME 解析、零 body 重编码、零 header 重排序；
   ❌ 注意：需自行处理连接池、超时、重试、TLS（如需）；建议封装为独立守护进程或使用 ReactPHP 异步 SMTP 客户端提升稳定性。

3. 绝对避免的错误路径

   • ❌ 使用 PhpMimeMailParser 解析后再用 Swift_Mailer 或 PHPMailer 重建邮件；
   • ❌ 调用 mail() 函数（无法控制 envelope，且会触发 sendmail 二次解析）；
   • ❌ 对 $rawEmail 执行 trim()、str_replace("\n", "\r\n")、preg_replace 等任意字符串操作——哪怕只多一个 \r\n，DKIM 即失效。

总结：DKIM 友好转发的黄金法则

最终结论：真正的“零修改转发”，本质是绕过应用层邮件构造，回归 MTA 层透传。优先选用 Postfix+SRS 原生集成；次选 PHP raw socket 直连，严格保证字节流完整性。放弃一切“解析-修改-重建”思维，是保障 DKIM 与 DMARC 合规的唯一正道。