dkim geht bei manchen Anbietern nicht

  • Mein dkim setup läuft eigentlich schon recht lange. Hin und wieder bekomme ich aber abgelehnte Nachrichten. Ich habe das immer als sporadische DNS Fehler abgetan weil der Netcup DNS halt mal wieder nicht (rechtzeitig) geantwortet hat. Aber bei einigen Servern tritt das zuverlässig auf. Ich frage mich jetzt ob das vielleicht doch an mir liegen könnte und ich irgendwas vermurkst habe?


    Grundsätzlich scheint das Setup in Ordnung. Google sieht keine Probleme und auch bei dkimvalidator.com und verifier.port25.com ist alles in Ordnung:



    [edit]

    Jetzt wollte ich den Post gerade abschicken und bin dann drauf gestoßen: Kann es sein dass es an einem zu langen Key liegt? Ich habe wohl damals 4096 bit genommen was zwar laut RFC von 2018 erlaubt ist, davor allerdings nur bis 2048 gefordert wurde. Alte Systeme können das vielleicht nicht richtig validieren?

    Etwas suchen fördert zutage, dass die Schlüssel aufgrund der Größe nicht mehr in ein UDP Packet passen und deshalb zwingend TCP eingesetzt werden muss was nicht alle machen.

    Hatte noch jemand solche Probleme? Sonst werde ich das wohl mal ausprobieren mit neuen, kürzeren Schlüsseln.

  • Du hast dir deine Frage schon selbst beantwortet, das dürfte an dem zu langen Schlüssel liegen.

    Bisher scheints zu gehen. Oh Mann...


    Man kann bei manchen Servern schon froh sein, wenn sie überhaupt DKIM validieren... :D

    Naja, So ists aber halt auch doof, wenn es beim validieren einen Fehler gibt weil sie den Schlüssel nicht laden können und sie das dann als Spam klassifizieren. Da wäre es (für mich)besser gar nicht zu validieren ..

  • Analog zur Definition von Transport-Regeln für Microsoft-E-Mailkontenbesitzer (wiederkehrendes Thema in diesem Forum) sollte es beispielsweise mit Rspamd für "problematische Dienstleister" doch möglich sein, abweichende/keine DKIM-Schlüssel einzusetzen (es gibt ja u. a. mit ARC eine weitere Möglichkeit für den Empfänger, die Authentizität zu verifizieren)? Da es sich um einzelne DNS-Einträge handelt, können diese ja nebeneinander existieren.

    VServer IOPS Comparison Sheet: https://docs.google.com/spreadsheets/d/1w38zM0Bwbd4VdDCQoi1buo2I-zpwg8e0wVzFGSPh3iE/edit?usp=sharing

  • sollte es beispielsweise mit Rspamd für "problematische Dienstleister" doch möglich sein, abweichende/keine DKIM-Schlüssel einzusetzen

    Ja, sollte ich mal nachschauen ob das vielleicht schon geht. Ansonsten wäre das ein Feature Request Wert ;)

    Prinzipiell ist das ja alles vorgesehen. Man kann beliebig viele Schlüssel angeben, muss man halt den selector entsprechend setzen. Ein selector für 1024 bit Key, einen für 2048 und einen für 4096. Dann je nach Empfänger einen anderen wählen. Würde auch das Umstellen erleichtern..


    [edit]

    Und schon wieder: Abgeschickt ohne vorher nachzudenken / einfach mal zu suchen:

    Code
    # map of domains -> names of selectors (since rspamd 1.5.3)
    #selector_map = "/etc/rspamd/dkim_selectors.map";

    Das werde ich mir dann wohl mal Spaßeshalber demnächst anschauen ;)

    Sollte ja ähnlich gehen wie die Ed25519 keys mit RSA als fallback: