zweite Domain unterschiedliche DKIM Signatur

[mexx81]

Hallo,

ich betreibe meine DS1813+ danke fester IP und passenden ReverseDNS als Mailserver. Ich habe DKIM implementiert und habe zwei Domains. Der öffentliche Schlüssel befindet sich als TXT im DNS beider Domains.

Beim Senden von Mails mit beiden Domains, stelle ich jedoch fest, dass im Header der ankommenden Mails der Teil...

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/simple; d=meinserver.de;
s=meinserver._domainkey.meinserver.de; t=1441108756;
bh=frcCV1k9oG9oKj3dpUqdJg1PxRT2RSN/XKdLCPjaYaY=;
h=From:To:Subjectate:Reply-To;
b=%dieser teil%

...unterschiedlich ist. Das irritiert mich jedoch ein wenig. Ich hatte erwartet, dass der Teil nach dem b= identisch ist, da ich nur einen öffentlichen Schlüssel habe, den ich im DNS beider Domains eintrage. Wie kommt es dann zu einen Unterschiedlichen Schlüssel im Header?

Danke für die Hilfe,
mexx

 

[jahlives]

wieso sollte b identisch sein? Das ist die Signatur der jeweiligen Mail (Header und Body) und die ist bei JEDER Mail unterschiedlich. Das ist NICHT dein PublicKey, denn wieso sollte der in der Mail stehen, wenn er doch bereits im DNS steht? Würde der PubKey in der Mail selber stehen wäre DKIM ziemlich sinnlos ;-)
Die Signatur (b) entsteht indem DKIM die Header (unter h) und den Body nimmt und mit deinem PrivateKey signiert.

 

[mexx81]

Okay, vielen Dank. Das deckt sich mit meiner Theorie. Darauf gekommen bin ich, weil ich DMARC aktiviert und im DNS für beide Domains hinterlegt habe.

Zum probieren habe ich DKIM Prüfung auf strikt gesetzt. (adkim=s). Im Header meiner Mails an Google, weil dort DKIM und DMARC geprüft wird, sehe ich jedoch diese Meldung.

Authentication-Results: mx.google.com;
       spf=pass (google.com: best guess record for domain of it@meinserver.de designates 109.125.65.73 as permitted sender) smtp.mailfrom=ich@meinserver.de;
       dkim=temperror (no key for signature) header.i=@meinserver.de;
       dmarc=fail (p=QUARANTINE dis=QUARANTINE) header.from=meinserver.de

So sieht DMARC aus:

v=DMARC1; p=quarantine; pct=100; rua=mailto:ich@zweitedomain.de; ruf=mailto:ich@zweitedomain.de; adkim=s; aspf=s

Google schiebt die Mail von meinedomain.de in den Spam Ordner und schreibt diesen Text dazu.

"Die Absenderadresse gehört zur Domain steelhost.de, aber die Nachricht konnte von steelhost.de nicht wie vorgeschrieben authentifiziert werden."

Wieso behauptet Google, dass dkim falsch ist?

 

[jahlives]

Google glaubt der Absender gehört zur Domain steelhost.de und die hat keinen DKIM in DNS.
Schick mir doch mal genau eine solche Mail an tobster[ät@at]brain-force.ch und ich guck was meine Mailserver dazu sagen

 

[mexx81]

Sind beide raus. Von beiden Domains. Aber DKIM ist bei beiden Domains hinterlegt.

Korrektur: Du hast Greylisting, muss 5 min warten. Hatten wir schon mal.

 

[jahlives]

tja Greylisting der Spamkiller

 

[mexx81]

Sind raus. Bin gespannt, was Dein Server zu SPF, DKIM und DMARC sagt.

 

[jahlives]

dkim bei beiden falied "key not found"
spf failed beim steelhost und beim anderen okay
dmarc bei beiden failed

Für mich schaut dein Selector (s) nicht gut aus. Da steht bei dir u.A, auch domainkey drin

XXX._domainkey.XXX.de

dann such der Mailserver nach

XXX._domainkey.XXX.de._domainkey.XXX.de

und findet den niemals

 

[mexx81]

Richtig, der SPF beim ersten hat gefehlt. Beim Selector habe ich mich an die Anleitung von Synology gehalten. Ich muss den Selector in der GUI setzten und im DNS als Host. Wie könnte er denn aussehen?

Ah, ich weiß wie. Ich ändere Ihn wenn die stunde TTL vorbei ist, maile ich Dir noch mal.

 

[jahlives]

mein Selector ist 2012 das ergibt einen DKIM Record von 2012._domainkey.meineDomain.tld
Welche Anleitung von Synology meinst du denn?

 

[mexx81]

Ich meine die Hilfe. Hier der DKIM Teil.



Ich stelle mir jetzt Frage, muss in der Synology den Selector ändern oder im DNS.

 

[jahlives]

und wo steht da was, dass der Selector u.A. _domainkey enthalten soll?
Den Selector wirst du an beiden Orten ändern müssen, denn dkim muss den Selector ja auch kennen.
Allenfalls könnte es reichen wenn du im DNS den Eintrag anpasst

XXX._domainkey.XXX.de

damit die prüfenden Server dann

XXX._domainkey.XXX.de._domainkey.XXX.de

finden könnten. Wobei es sicher sauberer wäre das ganz nochmals neu und korrekt zu machen

 

[mexx81]

1. Ich habe den Auswahlprefix in der Syno auf steelhost.de gesetzt.
2. Im DNS für steelhost.de habe ich unter Host den Wert steelhost._domainkey gesetzt und Wert ist klar.
3. Ein Check über https://www.mail-tester.com/spf-dkim-check Domainname steelhost.de und Selector steelhost liefert ein korrektes Ergebniss.

Die andere Domain liegt bei HostEurope. Dort steht im DNS unter Hostname steelhost._domainkey.zweitedomain.de und ein zweiter Eintrag _domainkey.zweitedomain.de, weil ich mir nicht sicher war.

Korrekt?

 

[jahlives]

Ich würde den Selctor jetzt nicht unbedingt auf den Domainnamen setzen. Sinn und Zweck des Selectors ist es pro Domain mehrere Schlüssel haben zu können, die dadurch unterscheidbar werden. Es ist nicht falsch, aber irgendwie imho nicht sinnvoll (http://dkim.org/specs/rfc4871-dkimbase.html#def-selectors)

 

[mexx81]

DONE! Jetzt passt es. Ich habe Selector angepasst und bekomme nun bei Mails an Google von beiden Domains diesen Header.

Delivered-To: test@gmail.com
Received: by 10.25.30.82 with SMTP id e79csp1953771lfe;
        Tue, 1 Sep 2015 06:56:24 -0700 (PDT)
X-Received: by 10.180.104.68 with SMTP id gc4mr3641386wib.67.1441115784550;
        Tue, 01 Sep 2015 06:56:24 -0700 (PDT)
Return-Path: <it@meine_erste_domain.de>
Received: from meine_erste_domain.de (meine_erste_domain.de. [xxx.xxx.xxx.xxx])
        by mx.google.com with ESMTPS id c5si2720489wjf.161.2015.09.01.06.56.24
        for <test@gmail.com>
        (version=TLSv1.2 cipher=ECDHE-RSA-AES128-GCM-SHA256 bits=128/128);
        Tue, 01 Sep 2015 06:56:24 -0700 (PDT)
Received-SPF: pass (google.com: domain of ich@meine_erste_domain.de designates xxx.xxx.xxx.xxx as permichted sender) client-ip=xxx.xxx.xxx.xxx;
Authentication-Results: mx.google.com;
       spf=pass (google.com: domain of ich@meine_erste_domain.de designates xxx.xxx.xxx.xxx as permichted sender) smtp.mailfrom=ich@meine_erste_domain.de;
       dkim=pass header.i=@meine_erste_domain.de;
       dmarc=pass (p=QUARANTINE dis=NONE) header.from=meine_erste_domain.de
Received: from [192.168.30.23] (unknown [62.157.246.80])
	(using TLSv1 wichh cipher ECDHE-RSA-AES256-SHA (256/256 bichs))
	(No client certificate requested)
	(Authenticated sender: ich)
	by meine_erste_domain.de (Postfix) wichh ESMTPSA id 0888C1D0E3A6
	for <test@gmail.com>; Tue,  1 Sep 2015 15:56:21 +0200 (CEST)
Authentication-Results: meine_erste_domain.de; dmarc=fail header.from=meine_erste_domain.de
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/simple; d=meine_erste_domain.de;
	s=meine_erste_domain; t=1441115782;
	bh=frcCV1k9oG9oKj3dpUqdJg1PxRT2RSN/XKdLCPjaYaY=;
	h=From:To:Subject:Date:Reply-To;
	b=gJ32/SQ8U4na/NXtIV1CTPe9kfTI5EyF9Vkc1k542j/CPuDMU0qdaJi7luNbA//Sr
	 +EmEIXtcNCerSr43pcysA1zoOeS1JB+Kvoy1pmknyUL9RTXKE4kCVdBkKbHKnkn4vi
	 B2NKNqGb6IVtexqmAnq71oir04L8hISnVe7rKJQs=
From: ich@meine_erste_domain.de
To: "test@gmail.com" <test@gmail.com>
Subject: test
Date: Tue, 01 Sep 2015 13:56:20 +0000
Message-Id: <emda39678c-8595-4219-87ea-45c62d012878@nb-000-040-w7>
Reply-To: ich@meine_erste_domain.de
Mime-Version: 1.0
Content-Type: text/plain; charset=utf-8
Content-Transfer-Encoding: quoted-printable
X-MailScanner-ID: 0888C1D0E3A6.A9B09
X-MailScanner: Found to be clean
X-MailScanner-From: ich@meine_erste_domain.de
X-Spam-Status: No

 

[mexx81]

Ich würde den Selctor jetzt nicht unbedingt auf den Domainnamen setzen. Sinn und Zweck des Selectors ist es pro Domain mehrere Schlüssel haben zu können, die dadurch unterscheidbar werden. Es ist nicht falsch, aber irgendwie imho nicht sinnvoll (http://dkim.org/specs/rfc4871-dkimbase.html#def-selectors)

Wenn Du von Selector sprichst, meinst Du dann den Eintrag im MTA oder im DNS? Ich frage deswegen nach, weil auch in den Anleitungen der Selector oft als das bezeichnet wird, was beim Check zusammengebaut und geprüft wird.

 

[jahlives]

gemäss RFC ist der Selector nicht das was zusammengebaut wird. Sondern der Teil VOR dem _domainkey
Zudem nochmals die "Warnung" die Domain als Selector zu benutzen: gerade im RFC Teil einen einleuchtenden Grund dagegen gefunden

Reusing a selector with a new key (for example, changing the key associated with a user's name) makes it impossible to tell the difference between a message that didn't verify because the key is no longer valid versus a message that is actually forged. For this reason, signers are ill-advised to reuse selectors for new keys. A better strategy is to assign new keys to new selectors.

 

[mexx81]

Den Selector kann ich ja auch scheinbar auf etwas setzten wie "default". Der Key bleibt jedoch immer der gleiche, wenn ich die grafische Übersicht nutze. Da gibt es den button "Öffentlichen Schlüssel generieren", er bleibt jedoch der gleiche, auch wenn ich den selector ändere.

 

[jahlives]

wieso sollte sich der Key ändern wenn du den Selector änderst? Der öffentliche Schlüssel bleibt solange gleich wie der zugrunde liegende private Schlüssel sich nicht ändert.

 

[mexx81]

Nutzt die Syno mein hinterlegtes Zertifikat für die Generierung des öffentlichen Schlüssels? Wenn ja, wird's aufwendig.