chiefteddy
Goto Top

DKIM-Problem

Hallo,

ich habe ein etwas seltsames Problem mit der e-mail-Protection und der DKIM-Überprüfung in meiner Firewall (Sophos XG135, MTA-Mode, feste IP, eigener Mail-Server).

In der e-mail-Protection der Firewall ist die DKIM-Überprüfung aktiviert. Fällt die per SMTP angelieferte Mail bei der DKIM-Überprüfung durch, wird sie in die Quarantäne geschoben und muss durch den User über das Benutzerportal freigegeben werden.
Im Allgemeinen funktioniert das auch korrekt.

In letzter Zeit ist mir aufgefallen, dass verstärkt e-mails unserer Kunden usw. wegen DKIM-Problemen in die Quarantäne geschoben werden.

Wenn ich nun eine der betroffenen Domänen näher auf ihre DKIM-Einträge überprüfe, stoße ich auf ein rätselhaftes Verhalten.

Ich teste die betroffene Absender-Domäne mit dem Test-Tool von https://easydmarc.com/tools/dkim-lookup

Wähle ich bei dem Test "Detect all selectors" (Selector = auto) aus, ergibt die Überprüfung, dass kein DKIM-Selector vorhanden ist.
Trage ich bei dem Test den hinterlegten Selector aus dem Mail-Header ein (zB: s = strato-dkim-0002), wird der Test bestanden.

Andere Domänen, deren DKIM-Record durch die Firewall nicht beanstandet werden, haben zB. folgende Selectoren: email, default, sim2, id, mail

Kann es sein, das der beanstandete DKIM-Selector "strato-dkim-0002" zu lang ist oder unzulässige Sonderzeichen ("-") enthält?

Auffällig ist ja, dass das Test-Tool als auch meine Sophos-Firewall mit diesem DKIM-Record ein Problem hat.

Für jeden Denkanstoß bin ich dankbar.

Jürgen

Content-ID: 6565711127

Url: https://administrator.de/forum/dkim-problem-6565711127.html

Ausgedruckt am: 22.12.2024 um 15:12 Uhr

8585324113
8585324113 24.10.2023 aktualisiert um 17:52:30 Uhr
Goto Top
Länge und Zeichen gehen in Ordnung.

Die Sophos kann auch einfach ein Signaturen und Logikupdate gemacht haben und nun blödeln. Passiert hin und wieder. Wenn der Verdacht auf die Sophos fällt, dann würde ich den Support bemühen.

Ansonsten sind diese Onlinechecks hin und wieder auch fehlerhaft.

Gucke Mal hier: https://www.mail-tester.com

Da stehe ich heute angeblich in einer Spam Liste, wegen der IP.
mbehrens
mbehrens 24.10.2023 aktualisiert um 18:10:39 Uhr
Goto Top
Zitat von @chiefteddy:

ich habe ein etwas seltsames Problem mit der e-mail-Protection und der DKIM-Überprüfung in meiner Firewall (Sophos XG135, MTA-Mode, feste IP, eigener Mail-Server).

Kann es sein, das der beanstandete DKIM-Selector "strato-dkim-0002" zu lang ist oder unzulässige Sonderzeichen ("-") enthält?

Dies deutet auf ein bekanntes Problem hin. Entweder den Support kontaktieren oder auf v20 MR1 warten.

Ansonsten implementieren es gerade im Exchange Online Umfeld viele oft unvollständig oder fehlerhaft.
chiefteddy
chiefteddy 24.10.2023 um 18:25:13 Uhr
Goto Top
Hallo @8585324113,
ein Update von Sophos ist mein nächster Kandidat.

Derzeitig sind ca. 10 Domänen betroffen.

Ich vergleiche derzeitig die DKIM-Records. Alle haben einen entsprechenden Record, der Aufbau, die Reihenfolge und auch das Vorhandensein von bestimmten Einträgen ist aber fast immer unterschiedlich und unterscheidet sich teilweise deutlich vom Record meiner Domäne.

2 Sachen sind mir bei den Problem-Domänen aufgefallen:
1. Bei einem DKIM-Record ist ein d-Eintrag, aber kein s-Eintrag vorhanden. Es fehlt also der Selektor

2. In einem anderen Fall enthält der Mail-Header 2 unterschiedliche DKIM-Rrecords mit verschiedenen Selectoren unmittelbar hintereinander. Und der erste wird teilweise als fehlerhaft angezeigt. Ist das zulässig?

Hast du einen Tip für eine Übersicht aller zulässigen Einträge im DKIM-Record?

Jürgen
8585324113
8585324113 24.10.2023 aktualisiert um 18:34:25 Uhr
Goto Top
Das ist sicherlich nicht erschöpfend: https://www.cloudflare.com/de-de/learning/dns/dns-records/dns-dkim-recor ...

Unten der Link zur RFC.

Die Anzahl der Selektoren ist nicht begrenzt. Wichtig ist, dass der Mailserver die richtigen Werte setzt. Und wenn man mehrere Mailserver hat, dann hat man auch oft mehrere Selektoren.
mbehrens
mbehrens 24.10.2023 um 19:01:41 Uhr
Goto Top
Zitat von @chiefteddy:

1. Bei einem DKIM-Record ist ein d-Eintrag, aber kein s-Eintrag vorhanden. Es fehlt also der Selektor

Tja, schon blöd, wenn die Angabe des Selektors fehlt. Da kann man dann auch nichts prüfen. RFC 6376 nennt die Selektorangabe required.
LordGurke
LordGurke 24.10.2023 um 23:49:24 Uhr
Goto Top
Nachdem die Online-Tools ja keine Probleme anzeigen wäre die Frage ob du resp. deine Sophos auch die DKIM-Records per DNS abrufen kann.
Da wäre der Hinweis angebracht, dass du dafür sorgen musst, dass die Sophos die DNS-Anfragen per UDP und TCP stellen kann, denn sonst können zu lange Records bzw. Records mit DNSSEC-Signaturen zu groß für UDP sein und wenn eine Abfrage per TCP scheitert, ist der Record nicht überprüfbar.

Ich kenne Sophos nicht, aber loggen die ob der Abruf des öffentlichen DKIM-Schlüssels scheitert oder die Signatur ungültig ist, weil verändert?
Wenn der Absender-Server bestimmte Signaturalgorithmen oder gar ECC-Schlüssel verwendet, die Sophos das aber nicht kann, würde das den gleichen Effekt geben.
chiefteddy
chiefteddy 25.10.2023 um 11:59:18 Uhr
Goto Top
Hallo @LordGurke,

Nachdem die Online-Tools ja keine Probleme anzeigen wäre die Frage ob du resp. deine Sophos
auch die DKIM-Records per DNS abrufen kann.

Das ist so nicht ganz korrekt.

Von den deutlich über hundert Domänen, von denen Mails bei uns eintreffen, sind ca 10 Domänen von diesem DKIM-Phänomen betroffen.

Auffällig ist, dass alle betroffenen Domänen beim Test über https://easydmarc.com/tools/dkim-lookup das oben beschriebene Verhalten zeigen:

- Selector auf "automatisch" --> Fehler
- Selector auf konkreten Wert aus Mail-Header --> DKIM OK

Stichprobenartig überprüfte "gute" Domänen zeigen auch bei Selector auf "automatisch" keinen Fehler.

Anscheinend benutzen das Tool und die Sophos einen vergleichbaren Algorithmus zur Überprüfung des DKIM-Records, der zu einem falschen Ergebnis führt.

Ich bin da mittlerweile eher bei @mbehrens: ich habe vor ca. 2 Wochen ein Firmwareupdate bei der Firewall gemacht und ich habe das Gefühl, dass das Problem seit dem auftritt (wie gesagt: Gefühl, nicht verifizierbar).


Jürgen
mbehrens
mbehrens 25.10.2023 um 17:18:50 Uhr
Goto Top
Zitat von @chiefteddy:

Auffällig ist, dass alle betroffenen Domänen beim Test über https://easydmarc.com/tools/dkim-lookup das oben beschriebene Verhalten zeigen:

- Selector auf "automatisch" --> Fehler

Einen solcher Mechanismus ist doch auch gar nicht dokumentiert. Ohne Angabe des Selektors kann auch nicht geprüft werden.

- Selector auf konkreten Wert aus Mail-Header --> DKIM OK

Ich bin da mittlerweile eher bei @mbehrens: ich habe vor ca. 2 Wochen ein Firmwareupdate bei der Firewall gemacht und ich habe das Gefühl, dass das Problem seit dem auftritt (wie gesagt: Gefühl, nicht verifizierbar).

Deshalb auch der Hinweis auf den Support.