Mailserver mit mehreren Domains - DKIM not alligned

Guten Tag zusammen

Für mehrere Domains (aktuell drei Stück) die ich Betreibe, habe ich ein Hosting-Panel (EHCP-Force) aufgesetzt.
Da dann den Mailserver konfiguriert (vieles wird beim anlegen einer Domain bereits erledigt). Manuell habe ich gewisse TXT Einträge wie DMARC, SPF, TLSRPT, MTA-STS konfiguriert. Ein DKIM-Eintrag wurde für die primäre Domain automatisch angelegt bzw. kann ich beim aktivieren von DKIM eine meiner angelegten Domains auswählen. Für die beiden anderen habe ich einfach mal den DKIM-Eintrag der primären Domain genommen.

Soweit so gut. Funktioniert soweit alles, die Checks bei "mxtoolbox", "easydmarc" usw. wie sie alle heissen, zeigen soweit alles in Ordnung an. Nun habe ich diverse Empfängeradressen getestet, u.a. "outlook.com, "gmail.com", "gmx.net" und noch einige andere. Sende ich eine Mail mit einer Adresse der primären Domain, klappt alles wunderbar, die Mails landen bei allen Empfängern immer schön im Posteingang. Nutze ich jedoch eine Adresse der beiden anderen Domains, kommen die Mails bei den Empfängern zwar an, landen aber teilweise (z.B. bei "outlook.com"), im Spam Ordner. Nun gut, dann hab ich die Header der Mail mal auf "mxtoolbox" mit dem Header-Analyzer Tool prüfen lassen und siehe da, folgende Meldung / Warnung wird mir angezeigt:

DKIM Signature Alignment: Signature domain not aligned.

Es werden mir die tags angezeigt und beim d-tag stehen zwei Domains drin, einmal meine primäre und einmal einer der anderen hinzugefügten.

d    example.com    SDID value    The SDID claiming responsibility for an introduction of a message into the mail stream.
example.org    From Domain    The domain used in the From header field.

Die DKIM Signature sieht folgendermassen aus

v=1; a=rsa-sha256; c=relaxed/simple; d=example.com; s=mail; .....

Example.com ist in diesem Fall meine primäre Domain, für die der DKIM Eintrag angelegt wurde. Nun weiss ich wirklich nicht mehr weiter und was ich wo tun muss, damit die beiden anderen Domains eine korrekte DKIM Signatur aufweisen.

Freundliche Grüsse
Andy

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 4367820631

Url: https://administrator.de/forum/mailserver-mit-mehreren-domains-dkim-not-alligned-4367820631.html

Ausgedruckt am: 15.04.2025 um 04:04 Uhr

8 Kommentare

Neuester Kommentar

Moin,

Wurde denn auch der öffentliche Schlüssel in allen Domains hinterlegt? Bzw. Kann man glaube ich, für die jeweilige Domain den Key auch einfach auf den Key der primären Domain verweisen…

Ein DKIM-Eintrag wurde für die primäre Domain automatisch angelegt bzw. kann ich beim aktivieren von DKIM eine meiner angelegten Domains auswählen. Für die beiden anderen habe ich einfach mal den DKIM-Eintrag der primären Domain genommen.

Meinst du das?

Moin,

Zitat von @endy66:

Meinst du das?

Jain.
https://mxtoolbox.com/problem/dkim/dkim-signature-alignment

Wenn du einen private Key sowie einen dazugehörigen public-Key hast, musst du für jede DOMAIN einen eigenen TXT-Record anlegen (lassen)

Angenommen, der Public Key lautet (stark vereinfacht) klauwzt498721ziquhf1483t und du hast die Domains
maindom.org | altdom.de | anotherdom.biz
dann wählst du noch einen (gemeinsamen) Selector, z. B. sel2024

Nun brauchst du ja drei TXTs - für jede Domain einen:

sel2024._domainkey.maindom.org mit dem Inhalt v=DKIM1; k=rsa; p=klauwzt498721ziquhf1483t
sel2024._domainkey.altdom.de mit dem Inhalt v=DKIM1; k=rsa; p=klauwzt498721ziquhf1483t
sel2024._domainkey.anotherdom.biz mit dem Inhalt v=DKIM1; k=rsa; p=klauwzt498721ziquhf1483t

Alternativ legst du den PubKey nur 1x ab und referenzierst mittels CNAME-Record auf den Key:
https://serverfault.com/questions/785151/dkim-with-same-key-but-differen ...

Dann musst du bei Änderungen den Key nur einmal anpassen und nicht an drei Stellen.

Danke für deine Antwort. Genau so habe ich das aktuell konfiguriert. Ich habe den Public Key der "primären Domain kopiert und beim jeweiligen TXT Eintrag für DKIM bei den anderen Domains eingefügt. Selector habe ich ebenfalls überall den selben verwendet, genau wie in deinem Beispiel.
Bei der "primären" Domain wie gesagt keine Probleme, bei den beiden anderen leider schon, jedoch nur bei einigen wenigen Mailprovidern wie z.B. outlook.com.

Manche DNS Verwaltungsoberflächen benötigen einen Punkt hinter der TLD:

sel2024._domainkey.altdom.de.

Ansonsten wird es als Subdomain zur Hauptdomain addiert:

sel2024._domainkey.altdom.de.altdom.de

Das ist bei meiner Verwaltungsoberfläche der Fall, den Punkt hinter der TLD habe ich so drin. Die DKIM-Checks fallen komischerweise alle positiv aus, aber wenn ich den Header einer versendeten E-Mail (beim Empfänger) kopiere und diesen dann bei mxtoolbox prüfen lasse, sehe ich erst das oben genannte Problem, also dass im d-Tag halt die Haupt- sowie Sender-Domain drin stehen.

Möchte nochmal nachfragen, ob es noch weitere Tipps oder Hinweise gibt, was ich noch machen könnte? Gerne stelle ich auch mehr Daten / Angaben zur Verfügung, falls benötigt.

Das Problem konnte nun gelöst werden. Je nach Mailanbieter scheint es nicht genug zu sein, einen einzigen DKIM-Key für alle Domains zu nutzen. Mithilfe von opendkim habe ich nun für jede Domain einen Key generieren lassen und die folgende Configs angepasst:

/etc/opendkim/KeyTable
/etc/opendkim/SigningTable
/etc/opendkim/TrustedHosts

Nun ergeben alle Checks einen Pass und alles funktioniert, wie es sollte.

Danke nochmal für eure Hilfe!

gelöst Frage Internet E-Mail

Mehr von endy66

Administrationsclient für mehrere VLANsendy66 - 15 Kommentare

Netgear GS716Tv3 VLAN Admin Accessendy66 - 4 Kommentare

PfSense mit 2x WAN - Zugriff von WAN1 auf WAN2endy66 - 4 Kommentare

Heiß diskutiert