Postfix/OpenDKIM benutzen den falschen Selektor

Efficiency

New Member
Wir haben Postfix auf Ubuntu laufen und ich habe jetzt OpenDKIM eingerichtet. Die eMails haben jetzt auch einen schönen Eintrag im Header. Leider nimmt OpenDKIM irgendwie immer den falschen (Standard?) Selektor "mail". Ich wollte eigentlich "email" verwenden:

# File: /etc/postfix/main.cf
...
#Das hier ist für den rspamd und für DKIM
milter_protocol = 6
milter_mail_macros = i {mail_addr} {client_addr} {client_name} {auth_authen}
milter_default_action = accept
# nur DKIM für lokale eMails zB von sendmail oder einem PHP
#non_smtpd_milters = inet:127.0.0.1:11332 kein rspamd nur DKIM
non_smtpd_milters = inet:127.0.0.1:12345
# rspamd (11332) und DKIM (12345) für eMails, die von außen per SMTP rein kommen:
smtpd_milters = inet:127.0.0.1:11332, inet:127.0.0.1:12345


# File /etc/opendkim.conf
Mode sv
Socket inet:12345@localhost
UserID opendkim:opendkim
UMask 002
PidFile /var/run/opendkim/opendkim.pid
AutoRestart yes
AutoRestartRate 10/1h
Syslog yes
SyslogSuccess yes
LogWhy yes
Canonicalization relaxed/relaxed
ExternalIgnoreList refile:/etc/opendkim/trusted
InternalHosts refile:/etc/opendkim/trusted
SigningTable refile:/etc/opendkim/signing.table
KeyTable /etc/opendkim/key.table
SignatureAlgorithm rsa-sha256
OversignHeaders From

# File /etc/opendkim/key.table
# der Schlüssel "abc" befindet sich in des Datei /etc/opendkim/keys/abc.private
# Selektor ist "email"
abc abc.com:email:/etc/opendkim/keys/abc.private


# File /etc/opendkim/signing.table
# für eMails von xxx@abc.com den Schlüssel 'abc' zum Signieren verwenden
*@abc.com abc


Der Key wurde so erzeugt:
opendkim-genkey -d abc.com -b 2048 -r -s email

und entsprechend umbenannt und verschoben:
mv email.private /etc/opendkim/keys/abc.private

OpenDKIM und Postfix wurden restarted.

DNS-Eintrag aus email.txt kopiert:
email._domainkey.abc.com "v=DKIM1; k=rsa; s=email; p=MIIBIjANBgkqhkiG9w0BAQE ... MTi9B/U6lERcwIDAQAB" 3600

https://www.dmarcanalyzer.com sagt: Dies scheint ein gültiger DKIM-Datensatz zu sein. Selektor "email" Domain "abc.com"

https://app.mailgenius.com sagt bei einer Test-eMail: "The public key, represented by the p= tag, on your DKIM DNS record is unverified or revoked." und "The DKIM signature is not from the author's or envelope-from domain."

Als Tipp kommt noch: "It may be signed with your Email Service Provider's default DKIM domain key instead." Der eMail-Provider sind wir allerding selbst. Das mit dem default könnte allerdings stimmen.

Hat jemand eine Idee, warum anscheined der falsche DKIM-Schlüssel verwendet wird? Immer wird der Selektor "mail" verwendet, so sehe ich es auch im DKIM-Eintrag im Header, wenn ich mir eine eMail an uns selbst anschaue. Ich habe schon an allen Schrauben gedreht. Anscheind ist noch irgendetwas verstellt.

Über jeden Hinweis würde ich mich freuen!
 
Ich habe das Problem im Mail-Log entdeckt /var/log/mail.log:
Feb 18 10:02:23 abc-server opendkim[12010]: D96ED160078: aname.intern-abc.com [192.168.1.109] not internal
Feb 18 10:02:23 abc-server opendkim[12010]: D96ED160078: not authenticated
Feb 18 10:02:23 abc-server opendkim[12010]: D96ED160078: external host aname.intern-abc.com attempted to send as abc.com


Die sendende Domain war also nicht abc.com sondern aname.intern-abc.com. Also habe ich aname.intern-abc.com in /etc/opendkim/trusted nachgetragen, die ja in /etc/opendkim.conf als InternalHosts eingetragen ist. OpenDKIM neu gestartet und die Signatur für den Selektor "email" ist korrekt. https://www.mail-tester.com und https://www.mailgenius.com/spf-and-dkim-key-email-checker/ geben beide Grünes Licht.

Allerdings ist jetzt immer noch der DKIM-Eintrag mit dem Selektor "mail" zusätzlich in der eMail. Weiß jemand, wie ich den los werde? Schädlich scheint er zunächst nicht zu sein.
 
Last edited:
Back
Top