12.06.2025
1468
11
0NoSpamProxy DKIM-Signing klappt nicht
Moin,
wir setzen seit kurzem NoSpamProxy ein und sind damit auch im Prinzip sehr zufrieden. Allerdings klappt das DKIM-Signing nicht, der NSP-Support scheint auch ratlos.
Unser Setup:
Meine Tests:
Vorher hatten wir DkimX eingesetzt, das funktionierte einwandfrei. Diese Software habe ich natürlich vor Inbetriebnahme von NSP deinstalliert.
Vielleicht kennt ja jemand von Euch die entscheidende Stellschraube.
Gruß
wir setzen seit kurzem NoSpamProxy ein und sind damit auch im Prinzip sehr zufrieden. Allerdings klappt das DKIM-Signing nicht, der NSP-Support scheint auch ratlos.
Unser Setup:
- Exchange 2019 CU15 mit allen aktuellen Updates
- NoSpamProxy 15.5.0.1492, verteilt auf zwei VMs, eine mit Gateway-Rollen und Web Portal, die zweite mit der Intranet-Rolle
- Zwei DKIM-Keys (r und e) mit NSP erstellt und beim Hoster hinterlegt, Abfrage mit MXToolbox einwandfrei
- In der NSP-Regel "Outbound" ist "DKIM anwenden" aktiviert
Meine Tests:
- Testmail an eine GMX-Adresse, im Header steht u.a. "dkim=none"
- DKIM-Tester, z.B. wander.science/projects/email/dkimtest/ bestätigen, dass keine Signatur an der Mail hängt
Vorher hatten wir DkimX eingesetzt, das funktionierte einwandfrei. Diese Software habe ich natürlich vor Inbetriebnahme von NSP deinstalliert.
Vielleicht kennt ja jemand von Euch die entscheidende Stellschraube.
Gruß
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 673345
Url: https://administrator.de/forum/nospamproxy-dkim-signing-problem-673345.html
Ausgedruckt am: 18.07.2025 um 19:07 Uhr
11 Kommentare
Neuester Kommentar
Moin,
geh mal zu Identitäten -> Unternehmensdomänen und bearbeite die Domäne.
Da muss der Haken bei "DKIM für diese Domäne verwenden" rein und der Schlüssel gewählt werden.
Viele Grüße
ottinho
geh mal zu Identitäten -> Unternehmensdomänen und bearbeite die Domäne.
Da muss der Haken bei "DKIM für diese Domäne verwenden" rein und der Schlüssel gewählt werden.
Viele Grüße
ottinho
Moin,
Das ist natürlich schon passiert. Auch hier funktioniert die Validierung aus NSP heraus.
Gruß
geh mal zu Identitäten -> Unternehmensdomänen und bearbeite die Domäne.
Da muss der Haken bei "DKIM für diese Domäne verwenden" rein und der Schlüssel gewählt werden.
Da muss der Haken bei "DKIM für diese Domäne verwenden" rein und der Schlüssel gewählt werden.
Das ist natürlich schon passiert. Auch hier funktioniert die Validierung aus NSP heraus.
Gruß
Moin,
wie sieht der der Mailflow insgesamt aus?
Intern -> Extern
Exchange -> NSP -> Firewall/ Router -> WAN
Extern -> Intern
WAN -> Firewall/ Router -> NSP -> Exchange
Und macht die Firewall/ der Router auch noch was mit den SMTP-Paketen?
Wir hängen die Signatur z. B. erst an der Firewall an...
wie sieht der der Mailflow insgesamt aus?
Intern -> Extern
Exchange -> NSP -> Firewall/ Router -> WAN
Extern -> Intern
WAN -> Firewall/ Router -> NSP -> Exchange
Und macht die Firewall/ der Router auch noch was mit den SMTP-Paketen?
Wir hängen die Signatur z. B. erst an der Firewall an...
Moin,
das sieht genauso aus, wie bei Euch. Firewall und Router machen damit nichts, es verwundert mich auch, dass es mit der alten Lösung noch funktioniert hatte. Und die machte ja letztlich nichts anderes.
Gruß
das sieht genauso aus, wie bei Euch. Firewall und Router machen damit nichts, es verwundert mich auch, dass es mit der alten Lösung noch funktioniert hatte. Und die machte ja letztlich nichts anderes.
Gruß
Moin,
um sicher zu gehen, du hast dich an die Doku (docs.nospamproxy.com/Server/15/Suite/de-de/Content/email-authent ..) gehalten?
Gruß,
Dani
um sicher zu gehen, du hast dich an die Doku (docs.nospamproxy.com/Server/15/Suite/de-de/Content/email-authent ..) gehalten?
Gruß,
Dani
Moin Dani,
jupp, genau den Anweisungen gefolgt (Achtung! Etwas undankbar: Die Doku beschreibt nicht immer zwingend die aktuellste Version, so gibt es den einen oder anderen Menüpunkt nicht mehr, die Installation des Web Portals funktioniert auch nicht mehr, so wie dort beschrieben.).
Laut Support sieht das alles gut aus bei uns, wir sehen uns das demnächst einmal in einer Remotesession an. Ich berichte gern wieder.
Gruß
jupp, genau den Anweisungen gefolgt (Achtung! Etwas undankbar: Die Doku beschreibt nicht immer zwingend die aktuellste Version, so gibt es den einen oder anderen Menüpunkt nicht mehr, die Installation des Web Portals funktioniert auch nicht mehr, so wie dort beschrieben.).
Laut Support sieht das alles gut aus bei uns, wir sehen uns das demnächst einmal in einer Remotesession an. Ich berichte gern wieder.
Gruß
Moin,
ganz doof gefragt: Laut Nachrichtenverfolgung wurde auch genau diese Regel angewandt?
Wenn ja, gibt es unter Troubleshooting in den Eigenschaften der Gateway Rolle die Möglichkeit der E-mail-Speicherung. In dem dort angegebenen Ordner legt NoSpamProxy dann für jede E-mail zwei Versionen als EML-File ab. Einmal in der Version, wie NSP sie empfangen hat und einmal in der Version, wie sie weitergegeben wurde. Letztere ist die in diesem Fall wichtige Version. Öffne die EML mit einem Editor und untersuch den Header. Steht dort wirklich keine DKIM-Signatur drin?
Gruß Stefan
ganz doof gefragt: Laut Nachrichtenverfolgung wurde auch genau diese Regel angewandt?
Wenn ja, gibt es unter Troubleshooting in den Eigenschaften der Gateway Rolle die Möglichkeit der E-mail-Speicherung. In dem dort angegebenen Ordner legt NoSpamProxy dann für jede E-mail zwei Versionen als EML-File ab. Einmal in der Version, wie NSP sie empfangen hat und einmal in der Version, wie sie weitergegeben wurde. Letztere ist die in diesem Fall wichtige Version. Öffne die EML mit einem Editor und untersuch den Header. Steht dort wirklich keine DKIM-Signatur drin?
Gruß Stefan
Moin,
zusammen mit dem NSP-Support das Problem gelöst. Eigentlich ganz einfach, wenn man drüber nachdenkt, an dieser Stelle ist aber leider für meinen Geschmack die Doku nicht eindeutig genug:
Im EAC muss die IP (in eckigen Klammern) der Gatewayrolle im Exchange-Sendeconnector als Smarthost eingetragen werden, sonst laufen die ausgehenden Mails logischerweise am NSP vorbei.
Gruß
zusammen mit dem NSP-Support das Problem gelöst. Eigentlich ganz einfach, wenn man drüber nachdenkt, an dieser Stelle ist aber leider für meinen Geschmack die Doku nicht eindeutig genug:
Im EAC muss die IP (in eckigen Klammern) der Gatewayrolle im Exchange-Sendeconnector als Smarthost eingetragen werden, sonst laufen die ausgehenden Mails logischerweise am NSP vorbei.
Gruß
Moin,
Gruß,
Dani
zusammen mit dem NSP-Support das Problem gelöst. Eigentlich ganz einfach, wenn man drüber nachdenkt, an dieser Stelle ist aber leider für meinen Geschmack die Doku nicht eindeutig genug:
das hat aber nichts mit NSP zu tun. Sondern meiner Meinung nach mit der logischen Verständnis des Datenverkehrs.Gruß,
Dani
Moin,
Sehe das wie @Dani
Das war kein Problem innerhalb des NSP.
Folglich sah der von mir skizzierte Mailflow (NoSpamProxy DKIM-Signing klappt nicht) auch nicht so aus. Ausgehend habt ihr ja dann scheinbar den NSP ausgelassen:
Exchange -> FW/ Router -> WAN
Das wäre im übrigen auch in die Buchse gegangen, wenn statt NSP etwas anderes zum Einsatz gekommen wäre, z.B. Barracuda MailProtection, SpamAssasin, SecurePoint Mail Security, …
Sehe das wie @Dani
Das war kein Problem innerhalb des NSP.
Folglich sah der von mir skizzierte Mailflow (NoSpamProxy DKIM-Signing klappt nicht) auch nicht so aus. Ausgehend habt ihr ja dann scheinbar den NSP ausgelassen:
Exchange -> FW/ Router -> WAN
Das wäre im übrigen auch in die Buchse gegangen, wenn statt NSP etwas anderes zum Einsatz gekommen wäre, z.B. Barracuda MailProtection, SpamAssasin, SecurePoint Mail Security, …
Moin,
vorab: Ich habe nirgends behauptet, dass das ein Problem mit NSP ist, ich habe lediglich den Sachverhalt beschrieben. Im Gegenteil, finde den Support bislang ausgezeichnet, obwohl das Problem, wie schon beschrieben, nicht wirklich bei NSP lag. Dennoch hätte ich einen Hinweis in der Doku sehr begrüßt.
Vorher haben wir DkimX genutzt, das sitzt direkt auf der Exchange Transportrolle und funktioniert deshalb auch quasi OOTB.
Und auch wenn das Forum teils vor Allwissenden überquillt, ist dennoch das Stichwort "Smarthost" bislang nicht gefallen, evtl. habe ich das einfach übersehen. Aber ich nehme das gern auf meine Kappe, ich war zu doof. Amen. Trotzdem habe ich es für sinnvoll gehalten, die Lösung hier noch zu posten. Hätte ich das nicht getan, würde mein Heiligenschein wohl immer noch sitzen. Aber ich nehme einfach mal an, dass ich nicht der einzige Doofe auf der Welt bin, dies kann vielleicht auch andere erhellen.
@em-pie
Ja, Du hast Recht, sorry. Aber mangels Wissen aka Verständnis konnte ich Deine Frage gar nicht anders beantworten.
Aus meiner Sicht nun endgültig gelöst, allen ein schönes Wochenende!
Gruß
vorab: Ich habe nirgends behauptet, dass das ein Problem mit NSP ist, ich habe lediglich den Sachverhalt beschrieben. Im Gegenteil, finde den Support bislang ausgezeichnet, obwohl das Problem, wie schon beschrieben, nicht wirklich bei NSP lag. Dennoch hätte ich einen Hinweis in der Doku sehr begrüßt.
Vorher haben wir DkimX genutzt, das sitzt direkt auf der Exchange Transportrolle und funktioniert deshalb auch quasi OOTB.
Und auch wenn das Forum teils vor Allwissenden überquillt, ist dennoch das Stichwort "Smarthost" bislang nicht gefallen, evtl. habe ich das einfach übersehen. Aber ich nehme das gern auf meine Kappe, ich war zu doof. Amen. Trotzdem habe ich es für sinnvoll gehalten, die Lösung hier noch zu posten. Hätte ich das nicht getan, würde mein Heiligenschein wohl immer noch sitzen. Aber ich nehme einfach mal an, dass ich nicht der einzige Doofe auf der Welt bin, dies kann vielleicht auch andere erhellen.
@em-pie
Ja, Du hast Recht, sorry. Aber mangels Wissen aka Verständnis konnte ich Deine Frage gar nicht anders beantworten.
Aus meiner Sicht nun endgültig gelöst, allen ein schönes Wochenende!
Gruß
