Dkim beállítási gondok [Megoldva]

Linux-haladó

Sziasztok.

Egy szerverre van irányítva több domainem is. A szerverre beállítottam a Dkim-et, amit ha check-auth@verifier.port25.com címre küldött levéllel tesztelek tökéletes eredményt kapok:
SPF check: pass
DomainKeys check: neutral
DKIM check: pass
DKIM check: pass
Sender-ID check: pass
SpamAssassin check: ham

Ha gmailra küldöm ugyanilyen levelet a gmail a fejlécben ezt adja vissza:
dkim=neutral (bad version)

Eddig még megérteném, biztos valamit én nem állítok be jól, de tegnap kiderült, hogy valami más gubanc lehet, mivel van olyan e-mail cím amiről ha küldöm Bad versiont kapok, de ugyanazon domain másik e-mailjét pedig elfogadja: dkim=pass

A rendszer ISPConfiggal van telepítve, de kézzel lett OpenDkim feltolva rá, és beállítva.
A levelek fejlécébe az aláírás be is kerül, a DNS vizsgálatoknál mindent okénak mutat akárhol ellenőrzöm.

Elég régóta szívok ezzel a problémával nagyon örülnék ha valaki tudna érdemben segíteni, mert, most hogy már azt látom ugyanazon a domainnél más fiókkal is problémázik, miközben teljesen véletlenszerű fiókok meg jók nem tudom hol keressem a hibát.

Segítséget előre is köszi.

  • 5378 megtekintés

( tigrincs | 2016. 01. 29., p – 11:27 )

DKIM configot tolhatnal (domaint szedd ki belole helyettesitsd be mydomain.com-al)

KeyTable:

mail._domainkey.mydomain.hu mydomain.hu:mail:/etc/opendkim/dkim.key
és mindenhol a domaint behelyettesítve soronként a domainek.

opendkim.conf:

Syslog yes
SyslogSuccess yes
LogWhy yes
UMask 002
KeyFile /etc/opendkim/dkim.key
Selector mail
OversignHeaders From
AutoRestart yes
Background yes
Canonicalization relaxed/relaxed
DNSTimeout 5
Mode sv
SignatureAlgorithm rsa-sha256
SubDomains no
Statistics /var/log/opendkim/dkim-stats
KeyTable /etc/opendkim/KeyTable
SigningTable /etc/opendkim/SigningTable
ExternalIgnoreList refile:/etc/opendkim/TrustedHosts

Google fejléc ha elfogadja:
spf=pass (google.com: domain of
dkim=pass header.i=@mydomain.hu

Google hiba esetén:
spf=pass (google.com: domain of mailcim@mydomain.hu designates xx.xx.xx.xx as permitted sender) smtp.mailfrom=mailcim@mydomain.hu ;
dkim=neutral (bad version) header.i=@

root@:/etc# nslookup -q=TXT mail._domainkey.mydomain.hu

Non-authoritative answer:
mail._domainkey.mydomain.hu canonical name = mydomain.hu.
mydomain.hu text = "v=spf1 mx a ip4:xx.xx.xx.xx a:mailserver.hu ~all"
mydomain.hu text = "v=DKIM1\; h=sha256:sha1\; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDXAeoXJXS2H9NdVq43yLFqzp1HsEy8W9IT7QLv8zTvywswhMZ50jD4q1VKXQnGDfGVVktmmb0MoTOtdHRSUZCzKHjusjhtnuY43hOvq8mYQWYWS/9puFXwH+v3vjm+a9ocHZg7S7/ywxgSzOSh+WnPzETzmvoSk8LyVihbiV5MkQIDAQAB\;"

Authoritative answers can be found from:

itt mondjuk furán néz ki ezek a \ jelek, mivel (külső Dns szolgáltató)
v=DKIM1; h=sha256:sha1; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDXAeoXJXS2H9NdVq43yLFqzp1HsEy8W9IT7QLv8zTvywswhMZ50jD4q1VKXQnGDfGVVktmmb0MoTOtdHRSUZCzKHjusjhtnuY43hOvq8mYQWYWS/9puFXwH+v3vjm+a9ocHZg7S7/ywxgSzOSh+WnPzETzmvoSk8LyVihbiV5MkQIDAQAB;

Lehet ezzel van a gondja?

--
Semmi sem lehetetlen
www.nii.hu

Nálam ilyen a konfig:
AutoRestart Yes
AutoRestartRate 10/1h
LogWhy Yes
Syslog Yes
SyslogSuccess Yes
Mode s
Canonicalization relaxed/simple
ExternalIgnoreList refile:/etc/opendkim/TrustedHosts
InternalHosts refile:/etc/opendkim/TrustedHosts
KeyTable refile:/etc/opendkim/KeyTable
SigningTable refile:/etc/opendkim/SigningTable
SignatureAlgorithm rsa-sha256
Socket inet:8891@localhost
PidFile /var/run/opendkim/opendkim.pid
UMask 022
UserID opendkim:opendkim
TemporaryDirectory /var/tmp

dns lekérdezés:
default._domainkey.domain.hu text = "v=DKIM1\; k=rsa\; p=....." ;

DKIM Information:

DKIM Signature

Message contains this DKIM Signature:
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=mydomain.hu;
s=mail; t=1454081259;
bh=47DEQpj8HBSa+/TImW+5JCeuQeRkm5NMpJWZG3hSuFU=;
h=Date:Subject:From:To:From;
b=pB4oukSBrtYJ2I5jiOIl5wElodkO9yQ0w+Augz5emvBXP9k3XEoocEQ+RQf0qD/rv
CVDetG7WNbVPgsu1QoLiZh2NSNe6o8lVxa+yZkpFjRIl9xjXi1MTiwISUztcmDPTwu
+bOCPRH0SDsXxa9X4SNogpqOov5XxwW4hz6X1XHo=
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=mydomain.hu;
s=mail; t=1454081258;
bh=47DEQpj8HBSa+/TImW+5JCeuQeRkm5NMpJWZG3hSuFU=;
h=Date:Subject:From:To:From;
b=T54qj1yGqwheMANmQsVbH/XoIOBto2b4kUAMhd1qYGT8GYjQ0u59ef8xWKB8k1AHF
MoP4S+9kJarvoxGKlY3tvPkc90PH3y1VkCc7ALZC+26XwDOdGK5JHyOCdxdZoauVbp
uwem2KBeW0q97vikqXxz5ebi8FmTdnJMBK7BQBfo=

Signature Information:
v= Version: 1
a= Algorithm: rsa-sha256
c= Method: relaxed/relaxed
d= Domain: mydomain.hu
s= Selector: mail
q= Protocol:
bh= 47DEQpj8HBSa+/TImW+5JCeuQeRkm5NMpJWZG3hSuFU=
h= Signed Headers: Date:Subject:From:To:From
b= Data: pB4oukSBrtYJ2I5jiOIl5wElodkO9yQ0w+Augz5emvBXP9k3XEoocEQ+RQf0qD/rv
CVDetG7WNbVPgsu1QoLiZh2NSNe6o8lVxa+yZkpFjRIl9xjXi1MTiwISUztcmDPTwu
+bOCPRH0SDsXxa9X4SNogpqOov5XxwW4hz6X1XHo=
Public Key DNS Lookup

Building DNS Query for mail._domainkey.mydomain.hu
Retrieved this publickey from DNS: v=DKIM1; h=sha256:sha1; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDXAeoXJXS2H9NdVq43yLFqzp1HsEy8W9IT7QLv8zTvywswhMZ50jD4q1VKXQnGDfGVVktmmb0MoTOtdHRSUZCzKHjusjhtnuY43hOvq8mYQWYWS/9puFXwH+v3vjm+a9ocHZg7S7/ywxgSzOSh+WnPzETzmvoSk8LyVihbiV5MkQIDAQAB;
Validating Signature

result = pass
Details:

--
Semmi sem lehetetlen
www.nii.hu

Aha kozeledunk :)

Hogyan nez ki a dkim bejegyzesed a DNS fileban?

ugye igy kezdodik?

mail._domainkey TXT

es nem igy ?

@ TXT

There should only be one TXT record for mail._domainkey.debimuvek.hu, there are 2:

v=DKIM1; h=sha256:sha1; p=MIGfMA0GCSq... (This might be a valid DKIM record)
v=spf1 mx a ip4:95.140.44.162 a:s1v3.... (This looks like an SPF record, not DKIM)

Simán csücsült @ TXT-vel.
Most átírtam, megvárom a szinkront és meglátom mit mondanak.
De nem értem akkor a másik domaint ugyanezekkel a beállításokkal miért eszi meg?

Köszönöm az eddigi segítséget, írok hogy mi lett a vége :)

--
Semmi sem lehetetlen
www.nii.hu

Nalam mar lefut ra a check igy ;)

DKIM Record for mail._domainkey.debimuvek.hu

v=DKIM1; h=sha256:sha1; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDXAeoXJXS2
H9NdVq43yLFqzp1HsEy8W9IT7QLv8zTvywswhMZ50jD4q1VKXQnGDfGVVktmmb0MoTOtdHRSUZ
CzKHjusjhtnuY43hOvq8mYQWYWS/9puFXwH+v3vjm+a9ocHZg7S7/ywxgSzOSh+WnPzETzmvoS
k8LyVihbiV5MkQIDAQAB;

This is a valid DKIM key record
Version
v= DKIM1

Hash algorithm
h= sha256:sha1

There is no need to list 'sha1' unless you intend to sign using it

Igen szuper lett, nagyon köszönöm a segítséget, a google szépen megeszi, minden frankó :)
Tehát az utókornak röviden a [Megoldás]:
Dkim jól volt konfolva, aláírta a levelet.
Sok checker megette és Passt adott, e a gmail elutasította, nálam épp bad version hibával.
Hiba az volt, hogy TXT-be lett felvíve a Dkim de a fődomainre, ami nem jó (ezek szerint az sok helyen fars pozitív).
Megoldás: a Dkim nem simán fődomainhez hanem én esetemben mail._domainkey.Fődomain.tld -hez kell kapcsolni, a mail ebből a selector.

Még egyszer köszönöm a segítséget, bár most hogy valaki említette a DMARC ot lehet azt is megcsinálom, mert sose baj ha van több dolog :) De azzal ha gondom van majd nyitok új topicot :)

--
Semmi sem lehetetlen
www.nii.hu

( shadow21 | 2016. 01. 29., p – 13:01 )

Nálam a opendkim.conf:

*@domain.hu default._domainkey.domain.hu

KeyTable:

default._domainkey.domain.hu domain.hu:default:/etc/opendkim/keys/domain.hu/default

Named domain.hu.db:

default._domainkey IN TXT "v=DKIM1; k=rsa; p=kulcs" ;

Gmail header:

Received-SPF: pass (google.com: domain of rendszergazda@domain.hu designates xxx.xxx.xxx.xxx as permitted sender) client-ip=xxx.xxx.xxx;
Authentication-Results: mx.google.com;
spf=pass (google.com: domain of rendszergazda@domain.hu designates xxx.xxx.xxx. as permitted sender) smtp.mailfrom=rendszergazda@domain.hu;
dkim=pass header.i=@domain.hu
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/simple; d=domain.hu;
s=default; t=1454067586;

Tudom hogy a tied de amit mondtam fentartom ;)
A hiba alapjan amit kap plane hogy leellenorizve mukodik viszont google-nel meg nem az altalaban ket dologra vezetheto vissza:

k=rsa-sha256 ertekkel szerepel siman rsa helyett

DNS szerver konvertalja a DKIM bejegyzeseket nagybeturol kisbeture ekkor nem lesz egyezes a kulcsban.

E