DKIM Record

[Thorsten]

Könnte ihr mir bitte mal helfen? Was mag Google an meinem DKIM Key nicht?

default._domainkey.serversupportforum.de. 3600 IN TXT "v=DKIM1; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDBbL2YrGTr/ee8B7dR+1sjtwi9RB1S49ET+QFeclWsSUFH7Ao2BaFAQ2ugGc+RnE8v3cYs0naXLvgtowmO/0Rq0NcQcTZVYP8xvdCqRu4wsgcZBVyaa+zZh7Dc8Muh2q9FO035cebT+AFZqjxtDKpYCNDdrHH1uaXnfg7MDNZsPQIDAQAB;"

Meldung von Google:
DKIM 'FAIL' mit Domain serversupportforum.de

Und:

ARC-Authentication-Results: i=1; mx.google.com;
       dkim=neutral (bad format) header.i=@serversupportforum.de header.s=default header.b=a29iw9I4;
       spf=pass (google.com: domain of webmaster@serversupportforum.de designates 87.106.234.221 as permitted sender) smtp.mailfrom=webmaster@serversupportforum.de;
       dmarc=pass (p=QUARANTINE sp=QUARANTINE dis=NONE) header.from=serversupportforum.de

Outlook meint, damit wäre alles OK. DNS Eintrag sollte doch eigentlich stimmen:

# dig +short txt default._domainkey.serversupportforum.de. @8.8.8.8
"v=DKIM1; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDBbL2YrGTr/ee8B7dR+1sjtwi9RB1S49ET+QFeclWsSUFH7Ao2BaFAQ2ugGc+RnE8v3cYs0naXLvgtowmO/0Rq0NcQcTZVYP8xvdCqRu4wsgcZBVyaa+zZh7Dc8Muh2q9FO035cebT+AFZqjxtDKpYCNDdrHH1uaXnfg7MDNZsPQIDAQAB;"

 

[nexus]

Sollte der Eintrag im Textfeld nicht mit "v=DKIM1; h=sha256; k=rsa; s=email; p=....." beginnen?

 

[david191186]

Sollte der Eintrag im Textfeld nicht mit "v=DKIM1; h=sha256; k=rsa; s=email; p=....." beginnen?

Exakt, genauso ist es.

"v=DKIM1; h=sha256; k=rsa; " "p=MIIBIjANBg.....

 

[Thorsten]

Erst einmal vielen Dank! Dann ist jetzt die Frage, warum Plesk diese Einträge nicht richtig erzeugt:

 

[david191186]

Erst einmal vielen Dank! Dann ist jetzt die Frage, warum Plesk diese Einträge nicht richtig erzeugt:
View attachment 6290

Wie wird den der Key in Plesk erstellt?
Mit opendkim-tools

opendkim-genkey -b 2048 -d serversupportforum.de -D /etc/opendkim.. default -v

 

[Thorsten]

Hm, jetzt wird es interessant:

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=serversupportforum.de; s=default; t=1706688795; bh=qCb8NE8VH1CFWQCJcZytxJWje3aHjdzzqZ4D50q/Vzc=; h=Subject:From:To; b=nhwZ6b4F52TBuhtn5R+4GvsXApXk5inEPX5v9PPGN72+R5VFKxoGQj99SoRMxyohQ
     RQO8TZKlZRvvLjLUaGz+gLxpSglpmjtjlskust4qfVTpsNuL1RP93Q2Zdl/MXivAQm
     aO0xaWc484mTUYoxd59e2cs3Xpzw2CiF+SNALqFc=

Verändert habe ich an den DNS Einträgen nichts.

 

[david191186]

Hm, jetzt wird es interessant:
View attachment 6291

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=serversupportforum.de; s=default; t=1706688795; bh=qCb8NE8VH1CFWQCJcZytxJWje3aHjdzzqZ4D50q/Vzc=; h=Subject:From:To; b=nhwZ6b4F52TBuhtn5R+4GvsXApXk5inEPX5v9PPGN72+R5VFKxoGQj99SoRMxyohQ
     RQO8TZKlZRvvLjLUaGz+gLxpSglpmjtjlskust4qfVTpsNuL1RP93Q2Zdl/MXivAQm
     aO0xaWc484mTUYoxd59e2cs3Xpzw2CiF+SNALqFc=

Verändert habe ich an den DNS Einträgen nichts.

Passt alles. Kannst aber nochmal den Mailtester drüber schauen lassen.

 

[Thorsten]

Ja, aber @nexus und auch meinten ja, das der Eintrag grundsätzlich so nicht korrekt sei. Macht mich nun etwas stutzig.

 

[david191186]

Ja, aber @nexus und auch meinten ja, das der Eintrag grundsätzlich so nicht korrekt sei. Macht mich nun etwas stutzig.

Normalerweise ist es auch nicht korrekt. v gibt die Dkim Version an. Und a, das Signatur Verfahren. Also du hast jetzt gar nichts verändert?

 

[Thorsten]

Normalerweise ist es auch nicht korrekt. v gibt die Dkim Version an. Und a, das Signatur Verfahren. Also du hast jetzt gar nichts verändert?

Nope! Sieht weiterhin wie folgt aus:

root@:~# dig +short txt default._domainkey.serversupportforum.de
"v=DKIM1; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDBbL2YrGTr/ee8B7dR+1sjtwi9RB1S49ET+QFeclWsSUFH7Ao2BaFAQ2ugGc+RnE8v3cYs0naXLvgtowmO/0Rq0NcQcTZVYP8xvdCqRu4wsgcZBVyaa+zZh7Dc8Muh2q9FO035cebT+AFZqjxtDKpYCNDdrHH1uaXnfg7MDNZsPQIDAQAB;"
root@:~# dig +short txt default._domainkey.serversupportforum.de @8.8.8.8
"v=DKIM1; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDBbL2YrGTr/ee8B7dR+1sjtwi9RB1S49ET+QFeclWsSUFH7Ao2BaFAQ2ugGc+RnE8v3cYs0naXLvgtowmO/0Rq0NcQcTZVYP8xvdCqRu4wsgcZBVyaa+zZh7Dc8Muh2q9FO035cebT+AFZqjxtDKpYCNDdrHH1uaXnfg7MDNZsPQIDAQAB;"
root@:~# dig +short txt default._domainkey.serversupportforum.de @127.0.0.1
"v=DKIM1; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDBbL2YrGTr/ee8B7dR+1sjtwi9RB1S49ET+QFeclWsSUFH7Ao2BaFAQ2ugGc+RnE8v3cYs0naXLvgtowmO/0Rq0NcQcTZVYP8xvdCqRu4wsgcZBVyaa+zZh7Dc8Muh2q9FO035cebT+AFZqjxtDKpYCNDdrHH1uaXnfg7MDNZsPQIDAQAB;"

 

[david191186]

Gehe mal in /etc/opendkim und such die Keys für deine Domain.

Dann mache ein

cat default.txt

Poste den Output hier rein..

 

[Thorsten]

Wie gesagt, es handelt sich um einen Server mit Plesk. Ich geh mal davon aus, dass die Informationen irgendwor in der Datenbank stecken (könnten).

 

[david191186]

Wie gesagt, es handelt sich um einen Server mit Plesk. Ich geh mal davon aus, dass die Informationen irgendwor in der Datenbank stecken (könnten).

Ich habe leider kein Plesk. Aber du hast doch trotzdem Root zugriff. Könnte auch sein das Plesk die Keys unter /home speichert.
default.txt ist der Public Key. Anhand des Outputs können wir sehen wie der Key erzeugt wurde.

 

[Thorsten]

Wie kommst du denn auf default.txt? Der Seperator könnte ich in Plesk auch selbst setzten / verändern. Da fehlt mir jetzt der Zusammenhang .

 

[david191186]

Anhand deines Dns Records.

default._domainkey

Füge doch einfach die Werte manuel hinzu in deinem DNS. Da Gmail das auch so erkannt hat, sollte das funktioneren.

"v=DKIM1; h=sha256; k=rsa; "

 

[Thorsten]

Email Validation Results
Address: 2m0o0gk1fhmyky@dkimvalidator.com
Original Message:

Received: from mx-20.server-support-forum.de (mx-20.server-support-forum.de [87.106.234.221])
    by relay-9.us-west-2.relay-prod (Postfix) with ESMTPS id 2F8C125A61
    for <2M0o0gk1FHMyKY@dkimvalidator.com>; Wed, 31 Jan 2024 09:49:12 +0000 (UTC)
Received: from webmail.serversupportforum.de (localhost [IPv6:::1])
    by mx-20.server-support-forum.de (Postfix) with ESMTPSA id B01477F52D
    for <2M0o0gk1FHMyKY@dkimvalidator.com>; Wed, 31 Jan 2024 10:49:10 +0100 (CET)
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
    d=serversupportforum.de; s=default; t=1706694550;
    bh=47DEQpj8HBSa+/TImW+5JCeuQeRkm5NMpJWZG3hSuFU=; h=From:To;
    b=Xxz09g+fDq4pMXfXqMN4//mSQcGKjZ1hXYYscXL58t6mAcaY8TlSIfFnnrk7P3Y15
     1vPGcvnP7yO8gnqpS70vv6OV6wPa2CitbsKru1vz6PKNh/mkXkQYoCpyODhnGz23CR
     iNrLnVsiwg4yZ5r7vGop0xB2rc19/xZc3WcXrhUw=
Authentication-Results: mx-20.server-support-forum.de;
        spf=pass (sender IP is ::1) smtp.mailfrom=webmaster@serversupportforum.de smtp.helo=webmail.serversupportforum.de
Received-SPF: pass (mx-20.server-support-forum.de: connection is authenticated)
MIME-Version: 1.0
Date: Wed, 31 Jan 2024 10:49:10 +0100
From: webmaster@serversupportforum.de
To: 2M0o0gk1FHMyKY@dkimvalidator.com
Message-ID: <c662f4c64bee745ff361de9cb148746f@serversupportforum.de>
X-Sender: webmaster@serversupportforum.de

DKIM Information:
DKIM Signature

Message contains this DKIM Signature:
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
    d=serversupportforum.de; s=default; t=1706694550;
    bh=47DEQpj8HBSa+/TImW+5JCeuQeRkm5NMpJWZG3hSuFU=; h=From:To;
    b=Xxz09g+fDq4pMXfXqMN4//mSQcGKjZ1hXYYscXL58t6mAcaY8TlSIfFnnrk7P3Y15
     1vPGcvnP7yO8gnqpS70vv6OV6wPa2CitbsKru1vz6PKNh/mkXkQYoCpyODhnGz23CR
     iNrLnVsiwg4yZ5r7vGop0xB2rc19/xZc3WcXrhUw=


Signature Information:
v= Version:         1
a= Algorithm:       rsa-sha256
c= Method:          relaxed/relaxed
d= Domain:          serversupportforum.de
s= Selector:        default
q= Protocol:        
bh=                 47DEQpj8HBSa+/TImW+5JCeuQeRkm5NMpJWZG3hSuFU=
h= Signed Headers:  From:To
b= Data:            Xxz09g+fDq4pMXfXqMN4//mSQcGKjZ1hXYYscXL58t6mAcaY8TlSIfFnnrk7P3Y15
     1vPGcvnP7yO8gnqpS70vv6OV6wPa2CitbsKru1vz6PKNh/mkXkQYoCpyODhnGz23CR
     iNrLnVsiwg4yZ5r7vGop0xB2rc19/xZc3WcXrhUw=
Public Key DNS Lookup

Building DNS Query for default._domainkey.serversupportforum.de
Retrieved this publickey from DNS: v=DKIM1; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDBbL2YrGTr/ee8B7dR+1sjtwi9RB1S49ET+QFeclWsSUFH7Ao2BaFAQ2ugGc+RnE8v3cYs0naXLvgtowmO/0Rq0NcQcTZVYP8xvdCqRu4wsgcZBVyaa+zZh7Dc8Muh2q9FO035cebT+AFZqjxtDKpYCNDdrHH1uaXnfg7MDNZsPQIDAQAB;
Validating Signature

result = pass
Details:

SPF Information:
Using this information that I obtained from the headers

Helo Address = mx-20.server-support-forum.de
From Address = webmaster@serversupportforum.de
From IP      = 87.106.234.221
SPF Record Lookup

Looking up TXT SPF record for serversupportforum.de
Found the following namesevers for serversupportforum.de: ns2.inwx.de ns3.inwx.eu ns.inwx.de
Retrieved this SPF Record: (TTL = 21600)
using authoritative server (ns2.inwx.de) directly for SPF Check
Result: pass (Mechanism 'a' matched)

Result code: pass
Local Explanation: serversupportforum.de: 87.106.234.221 is authorized to use 'webmaster@serversupportforum.de' in 'mfrom' identity (mechanism 'a' matched)
spf_header = Received-SPF: pass (serversupportforum.de: 87.106.234.221 is authorized to use 'webmaster@serversupportforum.de' in 'mfrom' identity (mechanism 'a' matched)) receiver=ip-172-31-52-154.ec2.internal; identity=mailfrom; envelope-from="webmaster@serversupportforum.de"; helo=mx-20.server-support-forum.de; client-ip=87.106.234.221

SpamAssassin Score: -0.984
Message is NOT marked as spam
Points breakdown: 
 0.0 URIBL_DBL_BLOCKED_OPENDNS ADMINISTRATOR NOTICE: The query to
                            dbl.spamhaus.org was blocked due to usage
                            of an open resolver. See
                            https://www.spamhaus.org/returnc/pub/
                            [URIs: serversupportforum.de]
 0.0 URIBL_BLOCKED          ADMINISTRATOR NOTICE: The query to URIBL was
                            blocked.  See
                            http://wiki.apache.org/spamassassin/DnsBlocklists#dnsbl-block
                             for more information.
                            [URIs: serversupportforum.de]
 0.0 RCVD_IN_ZEN_BLOCKED_OPENDNS RBL: ADMINISTRATOR NOTICE: The query
                             to zen.spamhaus.org was blocked due to
                            usage of an open resolver. See
                            https://www.spamhaus.org/returnc/pub/
                            [87.106.234.221 listed in zen.spamhaus.org]
-5.0 RCVD_IN_DNSWL_HI       RBL: Sender listed at https://www.dnswl.org/,
                            high trust
                            [87.106.234.221 listed in list.dnswl.org]
 0.0 URIBL_ZEN_BLOCKED_OPENDNS ADMINISTRATOR NOTICE: The query to
                            zen.spamhaus.org was blocked due to usage
                            of an open resolver. See
                            https://www.spamhaus.org/returnc/pub/
                            [URIs: serversupportforum.de]
 0.0 SPF_HELO_NONE          SPF: HELO does not publish an SPF Record
 0.1 DKIM_SIGNED            Message has a DKIM or DK signature, not necessarily
                            valid
-0.1 DKIM_VALID             Message has at least one valid DKIM or DK signature
-0.1 DKIM_VALID_AU          Message has a valid DKIM or DK signature from
                            author's domain
 1.8 MISSING_SUBJECT        Missing Subject: header
 2.3 EMPTY_MESSAGE          Message appears to have no textual parts

Was immer Plesk da intern treiben mag, für mich sieht das aktuelle Ergebnis erst einmal OK aus. Das einzige was mir in diesem Zusammenhang noch einfällt, ist möglicherweise ein DNS Update, dass gestern zum Zeitpunkt des fehlerhaften Eintrags noch nicht verarbeitet war.

 

[david191186]

Ja, ich würde trotzdem den DNS ergänzen, dann bist du auf der sicheren Seite. In der Praxis werden diese Werte in DNS eingetragen.

"v=DKIM1; h=sha256; k=rsa; "

Um deine Frage zu beantworten.

default._domainkey

„default“ ist der Dateiname von deinen Schlüsseln. Du könntest deine Schlüssel auch anders benennen z.b. „meinkey“.
Dann müsste der Dns Eintrag so ausehen:

meinkey._domainkey

 

[Thorsten]

OK. Bei Plesk findet sich das Ganze unter /etc/domainkey/example.com.
Hier ist aber lediglich der Private Key hinterlegt (default).

 

[david191186]

OK. Bei Plesk findet sich das Ganze unter /etc/domainkey/example.com.
Hier ist aber lediglich der Private Key hinterlegt (default).

Die default.txt muss auch irgendwo sein. Plesk hat vermutlich eine KeyTable Datei erstellt. Darin sind die Pfade zu den Schlüsseln gespeichert, auch die

default.txt

Öffne die

/etc/opendkim.conf

Darin findest du die Pfade zur KeyTable und SignTable Datei.

 

[Thorsten]

Da scheint es wohl keinen einfachen Lösungsweg zu geben, wenn man Plesk nutzt. Siehe hierzu auch https://plesk-new.zendesk.com/hc/en-us/articles/12377511222039.

Ich nutze externe Nameserver und habe auch nur die im ersten Post genannten Einträge im DNS veröffentlicht. Meine bisherigen Tests haben mir bestätigt, dass die Informationen zu DKIM korrekt und vollständig sind. Auf welche Weise das Plesk auf die Reihe bekommt, kann ich nicht wirklich nachvollziehen.

Die Initialfrage Warum mag Google meine DKIM Records nicht haben sich scheinbar in Luft aufgelöst. Hier kann ich nur vermuten, dass ein fehlendes DNS Update verantwortlich war, obwohl ich das etwas unlogisch finde.