8
DKIM-Problem
Hallo,
ich habe ein etwas seltsames Problem mit der e-mail-Protection und der DKIM-Überprüfung in meiner Firewall (Sophos XG135, MTA-Mode, feste IP, eigener Mail-Server).
In der e-mail-Protection der Firewall ist die DKIM-Überprüfung aktiviert. Fällt die per SMTP angelieferte Mail bei der DKIM-Überprüfung durch, wird sie in die Quarantäne geschoben und muss durch den User über das Benutzerportal freigegeben werden.
Im Allgemeinen funktioniert das auch korrekt.
In letzter Zeit ist mir aufgefallen, dass verstärkt e-mails unserer Kunden usw. wegen DKIM-Problemen in die Quarantäne geschoben werden.
Wenn ich nun eine der betroffenen Domänen näher auf ihre DKIM-Einträge überprüfe, stoße ich auf ein rätselhaftes Verhalten.
Ich teste die betroffene Absender-Domäne mit dem Test-Tool von https://easydmarc.com/tools/dkim-lookup
Wähle ich bei dem Test "Detect all selectors" (Selector = auto) aus, ergibt die Überprüfung, dass kein DKIM-Selector vorhanden ist.
Trage ich bei dem Test den hinterlegten Selector aus dem Mail-Header ein (zB: s = strato-dkim-0002), wird der Test bestanden.
Andere Domänen, deren DKIM-Record durch die Firewall nicht beanstandet werden, haben zB. folgende Selectoren: email, default, sim2, id, mail
Kann es sein, das der beanstandete DKIM-Selector "strato-dkim-0002" zu lang ist oder unzulässige Sonderzeichen ("-") enthält?
Auffällig ist ja, dass das Test-Tool als auch meine Sophos-Firewall mit diesem DKIM-Record ein Problem hat.
Für jeden Denkanstoß bin ich dankbar.
Jürgen
ich habe ein etwas seltsames Problem mit der e-mail-Protection und der DKIM-Überprüfung in meiner Firewall (Sophos XG135, MTA-Mode, feste IP, eigener Mail-Server).
In der e-mail-Protection der Firewall ist die DKIM-Überprüfung aktiviert. Fällt die per SMTP angelieferte Mail bei der DKIM-Überprüfung durch, wird sie in die Quarantäne geschoben und muss durch den User über das Benutzerportal freigegeben werden.
Im Allgemeinen funktioniert das auch korrekt.
In letzter Zeit ist mir aufgefallen, dass verstärkt e-mails unserer Kunden usw. wegen DKIM-Problemen in die Quarantäne geschoben werden.
Wenn ich nun eine der betroffenen Domänen näher auf ihre DKIM-Einträge überprüfe, stoße ich auf ein rätselhaftes Verhalten.
Ich teste die betroffene Absender-Domäne mit dem Test-Tool von https://easydmarc.com/tools/dkim-lookup
Wähle ich bei dem Test "Detect all selectors" (Selector = auto) aus, ergibt die Überprüfung, dass kein DKIM-Selector vorhanden ist.
Trage ich bei dem Test den hinterlegten Selector aus dem Mail-Header ein (zB: s = strato-dkim-0002), wird der Test bestanden.
Andere Domänen, deren DKIM-Record durch die Firewall nicht beanstandet werden, haben zB. folgende Selectoren: email, default, sim2, id, mail
Kann es sein, das der beanstandete DKIM-Selector "strato-dkim-0002" zu lang ist oder unzulässige Sonderzeichen ("-") enthält?
Auffällig ist ja, dass das Test-Tool als auch meine Sophos-Firewall mit diesem DKIM-Record ein Problem hat.
Für jeden Denkanstoß bin ich dankbar.
Jürgen
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 6565711127
Url: https://administrator.de/contentid/6565711127
Ausgedruckt am: 21.11.2024 um 18:11 Uhr
8 Kommentare
Neuester Kommentar
Länge und Zeichen gehen in Ordnung.
Die Sophos kann auch einfach ein Signaturen und Logikupdate gemacht haben und nun blödeln. Passiert hin und wieder. Wenn der Verdacht auf die Sophos fällt, dann würde ich den Support bemühen.
Ansonsten sind diese Onlinechecks hin und wieder auch fehlerhaft.
Gucke Mal hier: https://www.mail-tester.com
Da stehe ich heute angeblich in einer Spam Liste, wegen der IP.
Die Sophos kann auch einfach ein Signaturen und Logikupdate gemacht haben und nun blödeln. Passiert hin und wieder. Wenn der Verdacht auf die Sophos fällt, dann würde ich den Support bemühen.
Ansonsten sind diese Onlinechecks hin und wieder auch fehlerhaft.
Gucke Mal hier: https://www.mail-tester.com
Da stehe ich heute angeblich in einer Spam Liste, wegen der IP.
Zitat von @chiefteddy:
ich habe ein etwas seltsames Problem mit der e-mail-Protection und der DKIM-Überprüfung in meiner Firewall (Sophos XG135, MTA-Mode, feste IP, eigener Mail-Server).
Kann es sein, das der beanstandete DKIM-Selector "strato-dkim-0002" zu lang ist oder unzulässige Sonderzeichen ("-") enthält?
Dies deutet auf ein bekanntes Problem hin. Entweder den Support kontaktieren oder auf v20 MR1 warten.
Ansonsten implementieren es gerade im Exchange Online Umfeld viele oft unvollständig oder fehlerhaft.
Hallo @8585324113,
ein Update von Sophos ist mein nächster Kandidat.
Derzeitig sind ca. 10 Domänen betroffen.
Ich vergleiche derzeitig die DKIM-Records. Alle haben einen entsprechenden Record, der Aufbau, die Reihenfolge und auch das Vorhandensein von bestimmten Einträgen ist aber fast immer unterschiedlich und unterscheidet sich teilweise deutlich vom Record meiner Domäne.
2 Sachen sind mir bei den Problem-Domänen aufgefallen:
1. Bei einem DKIM-Record ist ein d-Eintrag, aber kein s-Eintrag vorhanden. Es fehlt also der Selektor
2. In einem anderen Fall enthält der Mail-Header 2 unterschiedliche DKIM-Rrecords mit verschiedenen Selectoren unmittelbar hintereinander. Und der erste wird teilweise als fehlerhaft angezeigt. Ist das zulässig?
Hast du einen Tip für eine Übersicht aller zulässigen Einträge im DKIM-Record?
Jürgen
ein Update von Sophos ist mein nächster Kandidat.
Derzeitig sind ca. 10 Domänen betroffen.
Ich vergleiche derzeitig die DKIM-Records. Alle haben einen entsprechenden Record, der Aufbau, die Reihenfolge und auch das Vorhandensein von bestimmten Einträgen ist aber fast immer unterschiedlich und unterscheidet sich teilweise deutlich vom Record meiner Domäne.
2 Sachen sind mir bei den Problem-Domänen aufgefallen:
1. Bei einem DKIM-Record ist ein d-Eintrag, aber kein s-Eintrag vorhanden. Es fehlt also der Selektor
2. In einem anderen Fall enthält der Mail-Header 2 unterschiedliche DKIM-Rrecords mit verschiedenen Selectoren unmittelbar hintereinander. Und der erste wird teilweise als fehlerhaft angezeigt. Ist das zulässig?
Hast du einen Tip für eine Übersicht aller zulässigen Einträge im DKIM-Record?
Jürgen
Das ist sicherlich nicht erschöpfend: https://www.cloudflare.com/de-de/learning/dns/dns-records/dns-dkim-recor ...
Unten der Link zur RFC.
Die Anzahl der Selektoren ist nicht begrenzt. Wichtig ist, dass der Mailserver die richtigen Werte setzt. Und wenn man mehrere Mailserver hat, dann hat man auch oft mehrere Selektoren.
Unten der Link zur RFC.
Die Anzahl der Selektoren ist nicht begrenzt. Wichtig ist, dass der Mailserver die richtigen Werte setzt. Und wenn man mehrere Mailserver hat, dann hat man auch oft mehrere Selektoren.
Zitat von @chiefteddy:
1. Bei einem DKIM-Record ist ein d-Eintrag, aber kein s-Eintrag vorhanden. Es fehlt also der Selektor
Tja, schon blöd, wenn die Angabe des Selektors fehlt. Da kann man dann auch nichts prüfen. RFC 6376 nennt die Selektorangabe required.
1
Nachdem die Online-Tools ja keine Probleme anzeigen wäre die Frage ob du resp. deine Sophos auch die DKIM-Records per DNS abrufen kann.
Da wäre der Hinweis angebracht, dass du dafür sorgen musst, dass die Sophos die DNS-Anfragen per UDP und TCP stellen kann, denn sonst können zu lange Records bzw. Records mit DNSSEC-Signaturen zu groß für UDP sein und wenn eine Abfrage per TCP scheitert, ist der Record nicht überprüfbar.
Ich kenne Sophos nicht, aber loggen die ob der Abruf des öffentlichen DKIM-Schlüssels scheitert oder die Signatur ungültig ist, weil verändert?
Wenn der Absender-Server bestimmte Signaturalgorithmen oder gar ECC-Schlüssel verwendet, die Sophos das aber nicht kann, würde das den gleichen Effekt geben.
Da wäre der Hinweis angebracht, dass du dafür sorgen musst, dass die Sophos die DNS-Anfragen per UDP und TCP stellen kann, denn sonst können zu lange Records bzw. Records mit DNSSEC-Signaturen zu groß für UDP sein und wenn eine Abfrage per TCP scheitert, ist der Record nicht überprüfbar.
Ich kenne Sophos nicht, aber loggen die ob der Abruf des öffentlichen DKIM-Schlüssels scheitert oder die Signatur ungültig ist, weil verändert?
Wenn der Absender-Server bestimmte Signaturalgorithmen oder gar ECC-Schlüssel verwendet, die Sophos das aber nicht kann, würde das den gleichen Effekt geben.
Hallo @LordGurke,
Das ist so nicht ganz korrekt.
Von den deutlich über hundert Domänen, von denen Mails bei uns eintreffen, sind ca 10 Domänen von diesem DKIM-Phänomen betroffen.
Auffällig ist, dass alle betroffenen Domänen beim Test über https://easydmarc.com/tools/dkim-lookup das oben beschriebene Verhalten zeigen:
- Selector auf "automatisch" --> Fehler
- Selector auf konkreten Wert aus Mail-Header --> DKIM OK
Stichprobenartig überprüfte "gute" Domänen zeigen auch bei Selector auf "automatisch" keinen Fehler.
Anscheinend benutzen das Tool und die Sophos einen vergleichbaren Algorithmus zur Überprüfung des DKIM-Records, der zu einem falschen Ergebnis führt.
Ich bin da mittlerweile eher bei @mbehrens: ich habe vor ca. 2 Wochen ein Firmwareupdate bei der Firewall gemacht und ich habe das Gefühl, dass das Problem seit dem auftritt (wie gesagt: Gefühl, nicht verifizierbar).
Jürgen
Nachdem die Online-Tools ja keine Probleme anzeigen wäre die Frage ob du resp. deine Sophos
auch die DKIM-Records per DNS abrufen kann.
auch die DKIM-Records per DNS abrufen kann.
Das ist so nicht ganz korrekt.
Von den deutlich über hundert Domänen, von denen Mails bei uns eintreffen, sind ca 10 Domänen von diesem DKIM-Phänomen betroffen.
Auffällig ist, dass alle betroffenen Domänen beim Test über https://easydmarc.com/tools/dkim-lookup das oben beschriebene Verhalten zeigen:
- Selector auf "automatisch" --> Fehler
- Selector auf konkreten Wert aus Mail-Header --> DKIM OK
Stichprobenartig überprüfte "gute" Domänen zeigen auch bei Selector auf "automatisch" keinen Fehler.
Anscheinend benutzen das Tool und die Sophos einen vergleichbaren Algorithmus zur Überprüfung des DKIM-Records, der zu einem falschen Ergebnis führt.
Ich bin da mittlerweile eher bei @mbehrens: ich habe vor ca. 2 Wochen ein Firmwareupdate bei der Firewall gemacht und ich habe das Gefühl, dass das Problem seit dem auftritt (wie gesagt: Gefühl, nicht verifizierbar).
Jürgen
Zitat von @chiefteddy:
Auffällig ist, dass alle betroffenen Domänen beim Test über https://easydmarc.com/tools/dkim-lookup das oben beschriebene Verhalten zeigen:
- Selector auf "automatisch" --> Fehler
- Selector auf "automatisch" --> Fehler
Einen solcher Mechanismus ist doch auch gar nicht dokumentiert. Ohne Angabe des Selektors kann auch nicht geprüft werden.
- Selector auf konkreten Wert aus Mail-Header --> DKIM OK
Ich bin da mittlerweile eher bei @mbehrens: ich habe vor ca. 2 Wochen ein Firmwareupdate bei der Firewall gemacht und ich habe das Gefühl, dass das Problem seit dem auftritt (wie gesagt: Gefühl, nicht verifizierbar).
Deshalb auch der Hinweis auf den Support.
