coreknabe

NoSpamProxy DKIM-Signing klappt nicht

gelöstFrageE-Mail
Moin,

wir setzen seit kurzem NoSpamProxy ein und sind damit auch im Prinzip sehr zufrieden. Allerdings klappt das DKIM-Signing nicht, der NSP-Support scheint auch ratlos.

Unser Setup:
  • Exchange 2019 CU15 mit allen aktuellen Updates
  • NoSpamProxy 15.5.0.1492, verteilt auf zwei VMs, eine mit Gateway-Rollen und Web Portal, die zweite mit der Intranet-Rolle
  • Zwei DKIM-Keys (r und e) mit NSP erstellt und beim Hoster hinterlegt, Abfrage mit MXToolbox einwandfrei
  • In der NSP-Regel "Outbound" ist "DKIM anwenden" aktiviert

Meine Tests:

Vorher hatten wir DkimX eingesetzt, das funktionierte einwandfrei. Diese Software habe ich natürlich vor Inbetriebnahme von NSP deinstalliert.

Vielleicht kennt ja jemand von Euch die entscheidende Stellschraube.

Gruß
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilen

Content-ID: 673345

Url: https://administrator.de/forum/nospamproxy-dkim-signing-problem-673345.html

Ausgedruckt am: 17.07.2025 um 23:07 Uhr

ottinho
ottinho 12.06.2025 um 11:33:07 Uhr
Moin,
geh mal zu Identitäten -> Unternehmensdomänen und bearbeite die Domäne.

Da muss der Haken bei "DKIM für diese Domäne verwenden" rein und der Schlüssel gewählt werden.

Viele Grüße
ottinho
Coreknabe
Coreknabe 12.06.2025 um 11:41:44 Uhr
Moin,

geh mal zu Identitäten -> Unternehmensdomänen und bearbeite die Domäne.
Da muss der Haken bei "DKIM für diese Domäne verwenden" rein und der Schlüssel gewählt werden.

Das ist natürlich schon passiert. Auch hier funktioniert die Validierung aus NSP heraus.

Gruß
em-pie
em-pie 12.06.2025 um 12:25:02 Uhr
Moin,

wie sieht der der Mailflow insgesamt aus?

Intern -> Extern
Exchange -> NSP -> Firewall/ Router -> WAN
Extern -> Intern
WAN -> Firewall/ Router -> NSP -> Exchange

Und macht die Firewall/ der Router auch noch was mit den SMTP-Paketen?

Wir hängen die Signatur z. B. erst an der Firewall an...
Coreknabe
Coreknabe 12.06.2025 um 16:33:40 Uhr
Moin,

das sieht genauso aus, wie bei Euch. Firewall und Router machen damit nichts, es verwundert mich auch, dass es mit der alten Lösung noch funktioniert hatte. Und die machte ja letztlich nichts anderes.

Gruß
Dani
Dani 13.06.2025 um 21:18:57 Uhr
Moin,
um sicher zu gehen, du hast dich an die Doku (docs.nospamproxy.com/Server/15/Suite/de-de/Content/email-authent ..) gehalten?


Gruß,
Dani
Coreknabe
Coreknabe 16.06.2025 um 13:07:44 Uhr
Moin Dani,

jupp, genau den Anweisungen gefolgt (Achtung! Etwas undankbar: Die Doku beschreibt nicht immer zwingend die aktuellste Version, so gibt es den einen oder anderen Menüpunkt nicht mehr, die Installation des Web Portals funktioniert auch nicht mehr, so wie dort beschrieben.).

Laut Support sieht das alles gut aus bei uns, wir sehen uns das demnächst einmal in einer Remotesession an. Ich berichte gern wieder.

Gruß
DerCink
DerCink 16.06.2025 um 14:17:41 Uhr
Moin,

ganz doof gefragt: Laut Nachrichtenverfolgung wurde auch genau diese Regel angewandt?
Wenn ja, gibt es unter Troubleshooting in den Eigenschaften der Gateway Rolle die Möglichkeit der E-mail-Speicherung. In dem dort angegebenen Ordner legt NoSpamProxy dann für jede E-mail zwei Versionen als EML-File ab. Einmal in der Version, wie NSP sie empfangen hat und einmal in der Version, wie sie weitergegeben wurde. Letztere ist die in diesem Fall wichtige Version. Öffne die EML mit einem Editor und untersuch den Header. Steht dort wirklich keine DKIM-Signatur drin?
Gruß Stefan
Coreknabe
Lösung Coreknabe 18.06.2025 um 11:47:07 Uhr
Moin,

zusammen mit dem NSP-Support das Problem gelöst. Eigentlich ganz einfach, wenn man drüber nachdenkt, an dieser Stelle ist aber leider für meinen Geschmack die Doku nicht eindeutig genug:

Im EAC muss die IP (in eckigen Klammern) der Gatewayrolle im Exchange-Sendeconnector als Smarthost eingetragen werden, sonst laufen die ausgehenden Mails logischerweise am NSP vorbei.

Gruß
Dani
Dani 19.06.2025 um 20:12:47 Uhr
Moin,
zusammen mit dem NSP-Support das Problem gelöst. Eigentlich ganz einfach, wenn man drüber nachdenkt, an dieser Stelle ist aber leider für meinen Geschmack die Doku nicht eindeutig genug:
das hat aber nichts mit NSP zu tun. Sondern meiner Meinung nach mit der logischen Verständnis des Datenverkehrs.


Gruß,
Dani
em-pie
em-pie 19.06.2025 um 20:43:59 Uhr
Moin,

Sehe das wie @Dani
Das war kein Problem innerhalb des NSP.
Folglich sah der von mir skizzierte Mailflow (NoSpamProxy DKIM-Signing klappt nicht) auch nicht so aus. Ausgehend habt ihr ja dann scheinbar den NSP ausgelassen:
Exchange -> FW/ Router -> WAN

Das wäre im übrigen auch in die Buchse gegangen, wenn statt NSP etwas anderes zum Einsatz gekommen wäre, z.B. Barracuda MailProtection, SpamAssasin, SecurePoint Mail Security, …
Coreknabe
Coreknabe 20.06.2025 um 10:11:49 Uhr
Moin,

vorab: Ich habe nirgends behauptet, dass das ein Problem mit NSP ist, ich habe lediglich den Sachverhalt beschrieben. Im Gegenteil, finde den Support bislang ausgezeichnet, obwohl das Problem, wie schon beschrieben, nicht wirklich bei NSP lag. Dennoch hätte ich einen Hinweis in der Doku sehr begrüßt.

Vorher haben wir DkimX genutzt, das sitzt direkt auf der Exchange Transportrolle und funktioniert deshalb auch quasi OOTB.

Und auch wenn das Forum teils vor Allwissenden überquillt, ist dennoch das Stichwort "Smarthost" bislang nicht gefallen, evtl. habe ich das einfach übersehen. Aber ich nehme das gern auf meine Kappe, ich war zu doof. Amen. Trotzdem habe ich es für sinnvoll gehalten, die Lösung hier noch zu posten. Hätte ich das nicht getan, würde mein Heiligenschein wohl immer noch sitzen. Aber ich nehme einfach mal an, dass ich nicht der einzige Doofe auf der Welt bin, dies kann vielleicht auch andere erhellen.

@em-pie
Ja, Du hast Recht, sorry. Aber mangels Wissen aka Verständnis konnte ich Deine Frage gar nicht anders beantworten.

Aus meiner Sicht nun endgültig gelöst, allen ein schönes Wochenende!

Gruß