DKIM Record

Code: 
root@:~# ll /etc/opendkim.conf
ls: cannot access '/etc/opendkim.conf': No such file or directory
root@:~#
 
Thorsten said:
Code: 
root@:~# find / -name "opendkim.conf"
root@:~#
Click to expand...
Dann weiß ich leider nicht weiter. Keine Ahnung warum Plesk die Datei verschoben hat, oder was auch immer sie gemacht haben. Vielleicht nutzen sie auch gar kein Opendkim.
Dann kannst du jetzt nur wie besprochen, die DNS von Hand anpassen und das ergänzen.
Code: 
"v=DKIM1; h=sha256; k=rsa; "
 
Warum sollte ich die DNS Einträge jetzt noch anpassen, wenn doch alles soweit OK ist? Das ist ja genau der Punkt, den ich nicht verstehe.
 
Thorsten said:
Warum sollte ich die DNS Einträge jetzt noch anpassen, wenn doch alles soweit OK ist? Das ist ja genau der Punkt, den ich nicht verstehe.
Click to expand...
Weil das so eigentlich nicht gemacht wird. Klar ist es für Gmail inordnung, bedeutet aber nicht das es bei den anderen auch so ist. Siehe Cloudflare:
Code: 
v=1; a=rsa-sha256;
        d=example.com; s=big-email;
        h=from:to:subject;
      bh=uMixy0BsCqhbru4fqPZQdeZY5Pq865sNAnOAxNgUS0s=;
  b=LiIvJeRyqMo0gngiCygwpiKphJjYezb5kXBKCNj8DqRVcCk7obK6OUg4o+EufEbB
tRYQfQhgIkx5m70IqA6dP+DBZUcsJyS9C+vm2xRK7qyHi2hUFpYS5pkeiNVoQk/Wk4w
ZG4tu/g+OA49mS7VX+64FXr79MPwOMRRmJ3lNwJU=

https://www.cloudflare.com/de-de/learning/dns/dns-records/dns-dkim-record/
 
Irgendwie stehe ich scheinbar auf der Leitung. Aber mein Eintrag sieht wie folgt aus:
Code: 
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
    d=serversupportforum.de; s=default; t=1706694550;
    bh=47DEQpj8HBSa+/TImW+5JCeuQeRkm5NMpJWZG3hSuFU=; h=From:To;
    b=Xxz09g+fDq4pMXfXqMN4//mSQcGKjZ1hXYYscXL58t6mAcaY8TlSIfFnnrk7P3Y15
     1vPGcvnP7yO8gnqpS70vv6OV6wPa2CitbsKru1vz6PKNh/mkXkQYoCpyODhnGz23CR
     iNrLnVsiwg4yZ5r7vGop0xB2rc19/xZc3WcXrhUw=
 
Ach jetzt verstehe ich das. Du hast laut deinem ersten Post diesen txt Record gesetzt.
Code: 
default._domainkey.serversupportforum.de. 3600 IN TXT "v=DKIM1; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDBbL2YrGTr/ee8B7dR+1sjtwi9RB1S49ET+QFeclWsSUFH7Ao2BaFAQ2ugGc+RnE8v3cYs0naXLvgtowmO/0Rq0NcQcTZVYP8xvdCqRu4wsgcZBVyaa+zZh7Dc8Muh2q9FO035cebT+AFZqjxtDKpYCNDdrHH1uaXnfg7MDNZsPQIDAQAB;"

In diesen txt Record fehlt:
Code: 
v=1; a=rsa-sha256;

Aber Plesk fügt diesen Werte vermutlich selbst ein. Und dadurch stimmt dann der Header von der Email:
Code: 
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
    d=serversupportforum.de; s=default; t=1706694550;
    bh=47DEQpj8HBSa+/TImW+5JCeuQeRkm5NMpJWZG3hSuFU=; h=From:To;
    b=Xxz09g+fDq4pMXfXqMN4//mSQcGKjZ1hXYYscXL58t6mAcaY8TlSIfFnnrk7P3Y15
     1vPGcvnP7yO8gnqpS70vv6OV6wPa2CitbsKru1vz6PKNh/mkXkQYoCpyODhnGz23CR
     iNrLnVsiwg4yZ5r7vGop0xB2rc19/xZc3WcXrhUw=
:)

Dann sollte alles passen.:)
 
Für den TXT-Eintrag im DNS ist nur das "v=DKIM1" direkt am Anfang und "p=<publickey>" erforderlich. Weitere Parameter sind optional und die meisten Werte aus dem DKIM-Header gehören auch gar nicht in den TXT-Record rein. Entsprechend fehlen
Code: 
v=1; a=rsa-sha256;
im TXT-Record nicht. Das v=1 wird im TXT-Record durch das v=DKIM1 repräsentiert. Der Signatur-Algorithmus ist mit RFC 4871 auf sha256 festgelegt, daher muss er im TXT-Record nicht festgelegt werden. Welche Keys im TXT-Record und welche im DKIM-Header erlaubt sind, steht auch in der RFC.
 
Ich denke, ich weiß nun auch, warum es bei der einen Nachricht an Google zu einem Problem gekommen sein könnte. Die Einträge für das TXT Record werden von Plesk erzeugt und in die interne Zone der Domain eintragen. Diese koiere ich dann direkt aus der GUI in meine externen Nameserver. So weit, so gut.

Nur, kennt Plesk diesen Eintrag (default._domainkey.example.com) nicht wirklich, da der notwendige Reload des Nameservers (also des Plesk DNS Dienstes) fehlschlägt:
Code: 
Jan 31 00:01:49 mx-20 systemd[1]: Stopping BIND Domain Name Server...
Jan 31 00:01:49 mx-20 rndc[358969]: WARNING: key file (/etc/bind/rndc.key) exists, but using default configuration file (/etc/bind/rndc.conf)
Jan 31 00:01:49 mx-20 named[669]: invalid command from 127.0.0.1#45893: bad auth
Jan 31 00:01:49 mx-20 rndc[358969]: rndc: connection to remote host closed.
Ob die zu diesem Zeitpunkt zugesandte E-Mail an Google irgendwelche Formatierungsprobleme ausgelöst kann ich nicht sagen. Denn der TXT Eintrag der Domain wurde ja eigentlich nie geändert.

Die Lösung des Problems findet sich bei Plesk:
https://support.plesk.com/hc/en-us/...invalid-command-from-127-0-0-1-41838-bad-auth
 
david191186 said:
Ich würde das schon lieber mit angeben.
Click to expand...
Wozu? Der Empfänger (Verifier) muss sha1 und sha256 zur Prüfung können, der Absender (Signer) muss sha256 können und sollte das auch verwenden. Für niedrige Anforderungen (z.B. regelmäßige Newsletter) kann auch sha1 verwendet werden. Nur im DKIM-Header stehen alle notwendigen Informationen, wie die Signatur dieses Headers entstanden ist, basierend auf dem öffentlichen Schlüssel im DNS. Du kannst mit "h=sha256" im DNS zwar sagen, dass du nur mit sha256 signierst, aber letztendlich liegt es ohnehin am Empfänger, was er mit dieser Information anfängt bzw. generell den Informationen im DKIM-Header der Mail.
 
Wow, dein Wissen dazu ist echt gut, da kann man noch viel mitnehmen aus deinem Beitrag :)
danton said:
Wozu? Der Empfänger (Verifier) muss sha1 und sha256 zur Prüfung können, der Absender (Signer) muss sha256 können und sollte das auch verwenden.
Click to expand...
Ja nicht wegen der Technik, eher für die Lesbarkeit. Nicht jeder ist auf dem gleichen Wissenstand. Demnach ist es gut wenn da
Code: 
v=1
steht, somit ist jedem klar das es die Version ist. "v" wird so gut wie überall die Version angegeben. Das Dkim1 auch v=1 bedeutet, hätte ich nicht gewusst.
Allerdings sind sehr viele Anleitungen dann schlicht weg falsch. Auch in der Englischen Wikipedia wird das als "required" angegeben.
https://en.wikipedia.org/wiki/DomainKeys_Identified_Mail
Code: 
v (required), version
a (required), signing algorithm
 
david191186 said:
Auch in der Englischen Wikipedia wird das als "required" angegeben.
Click to expand...
Und Wikipedia hat da auch Recht, denn da beziehen sie sich auf den DKIM-Header in der Mail. Aktuell gibt es zwar nur Version 1, aber das kann sich in Zukunft ändern. Auch der Signatur-Algorithmus im Header der Mail muss sein, für die Prüfung der Signatur benötige ich ja, mit welchem Rythmus die Signatur erstellt wurde.
Der TXT-Record im DNS für DKIM hingegen kennt das "a" gar nicht, die Verwendung würde den Eintrag streng genommen ungültig machen. "v" ist da vorhanden, hat aber andere Anforderungen, nämlich das der TXT-Record damit anfangen muss und und das DKIM explizit vorhanden sein muss, also "v=DKIM1" - und auch hat einen Grund: Dieser TXT-Record beinhaltet Informationen für DKIM der Version 1. SPF verwendet ja auch TXT-Records und die fangen mit v=SPF1 an (halt ein SPF-Record der Version 1).
Im Mail-Header reicht hingegen v=1, denn dass es sich um DKIM handelt, ergibt sich ja aus der Header-Bezeichnung: "DKIM-Signature:"
Mit Wissen hat das mit DKIM in meinem Fall gar nicht so viel zu tun, eher damit, zu wissen wo es steht und es da nachzulesen - in diesem Fall die RFC4871.
 
danton said:
Der TXT-Record im DNS für DKIM hingegen kennt das "a" gar nicht, die Verwendung würde den Eintrag streng genommen ungültig machen.
Click to expand...
Jetzt habe ich auch noch besser verstanden, mit deiner ausführlichen Erklärung. In dem Fall ist es wirklich besser, es aus dem TXT Record zu entfernen.
Ja, und Angaben auf wie
Code: 
v (required)
sind da eher irreführend finde ich.
 
Wieso irreführend? Du musst zwischen dem TXT-Record im DNS und dem Mail-Header unterscheiden. Beide haben unterschiedliche Anforderungen und entsprechend unterschiedliche Parameter.
Bezüglich der Version: DKIM ist ein cryptograhischen Verfahren, welches in der Zukunft an neu aufkommende Sicherheitsanforderungen angepasst werden wird. Daher ist mit sehr hoher Wahrscheinlichkeit mit neueren Versionen zu rechnen und somit macht es Sinn, von Anfang an die Version anzugeben - sowohl im DNS als auch in der Mail. Ich will hier nicht raten, sondern wissen, welches Verfahren verwendet wird. Entsprechend gilt für "v" das es verpflichtend anzugeben ist.
 
danton said:
Wieso irreführend? Du musst zwischen dem TXT-Record im DNS und dem Mail-Header unterscheiden.
Click to expand...
Ja, es war irreführend. Klar, jetzt weiß ich es. Aber ging ja nicht nur mir so:
nexus said:
Sollte der Eintrag im Textfeld nicht mit "v=DKIM1; h=sha256; k=rsa; s=email; p=....." beginnen?
Click to expand...
Thorsten said:
Ja, aber @nexus und auch meinten ja, das der Eintrag grundsätzlich so nicht korrekt sei. Macht mich nun etwas stutzig.
Click to expand...
Wir haben den Header und den TXT als gleich wargenommen, zumindest ging es mir so ;)
 
You must log in or register to reply here.
Back
Top