DKIM Signatur schlägt fehl / FortiGuard blockiert Website

  • Erstmal Hallo in die Runde!


    ich bin seit einem halben Jahr Besitzer eines Root Servers.


    Es war doch der ein oder andere Tag Einarbeitungszeit nötig - aber sieht im Großen und Ganzen gut aus.

    2 Dinge die mich aber derzeit beschäftigen.


    1. DKIM Signatur

    Ich bin mittlerweile beim gefühlten 12. Versuch die richtige Kombination einzutragen (Domain liegt bei Netcup). Derzeit sieht die Konfig so aus:


    default._domainkey.meinedomain.tld

    TXT

    v=DKIM1; k=rsa;p=XXXXXX


    Das 48h abwarten, im Bezug auf DNS changes, hab ich natürlich berücksichtigt.



    2. Website wird über einen bestimmten VPN Tunnel blockiert
    Die Website hat alles was an Security benötigt wird installiert (Zertifikate), wird aber zb. über ein gesicherten VPN (etablierte globale Firma) als blockierte Adresse resultiert.

    FortiGuard meint:
    Category: Newly Observed Domain
    Domains that are newly configured or newly active, but not necessarily newly registered.


    Kann es tatsächlich sein, dass eine 1/2 Jahr alte Domain noch immer überprüft wird?



    Vielleicht hat der ein oder andere ja einen Tipp für mich. Vielen Dank.


    Grüße Patrick

  • Zu Punkt 1: Den für DKIM verwendeten Schlüsselnamen kann man i.d.R. selbst vergeben. Hier ist zu überprüfen, ob (a) der DNS-Eintrag korrekt ist – siehe unten – und (b) der obengenannte Schlüsselname "default" auch von der verwendeten Software verwendet wird, d.h. er muss im Header der Mails auftauchen.

    Code
    1. [2020-06-07T09:32:34+0200] ueberall_l@desktop01:~% dig +short -t TXT _domainkey.domain.tld
    2. mail-2017-07._domainkey.domain.tld.
    3. "v=DKIM1; h=sha256; k=rsa; s=email; p=XXX" "XXX" "XXX"

    Bei Netcup ist zu beachten, dass im CCP im Feld auf der linken Seite ".domain.tld" nicht mitangegeben werden darf, da dies automatisch ergänzt wird (aus Sicht der Programme hätte man ansonsten einen Schlüssel "key._domainkey.domain.tld.domain.tld" definiert).

    Es ist nicht unbedingt nötig, 48h abzuwarten (Kommentaren im Forum nach werden die Einträge seitens Netcup viertelstündlich aktualisiert) – wichtig ist, dass der Cache der betreffenden Rechner, welche für eine Verarbeitung der Einträge herangezogen werden, gelöscht wird. Somit kann über einen externen Nameserver (8.8.8.8, 1.1.1.1, 9.9.9.9, ...) bereits nach 20 Minuten eine Abfrage via dig @<IP> +short -t TXT _domainkey.domain.tld erfolgen, wenn aus irgendeinem Grund das Löschen des lokalen Caches nicht möglich sein sollte. (Danach ist die Information natürlich im Cache des verwendeten Nameservers, und man sollte einen anderen verwenden, wenn man den Test nach nochmaliger Änderung wiederum 20 Minuten später wiederholen muss. Man könnte die Geltungsdauer der DNS-Einträge herabsetzen, aber davon rate ich ab, wenn es sich nicht um einen eigenen/lokal aufgesetzten DNS-Server handelt – und sei es, weil man nur zu gern vergisst, diese danach wieder heraufzusetzen.)

  • Danke für die Nachricht. Mittlerweile ist auch O365 verknüpft.


    Der DKIM Check ist nun erfolgreich, folgende Settings wähle ich:


    XXXXXXXX._domainkey

    TXT

    v=DKIM1; c=relaxed/relaxed; d=domain.tld; h=sha256; k=rsa; s=email; t=s; p=XXXXXX


    Viele Dank, m_ueberall für die Hilfe und Aufklärung.



    Für das 2. Thema, hat ev. noch jemand Tipps um ein besseres Ranking zu erreichen.

  • Danke für Ihre Antwort.


    Ohne Ihnen nahe treten zu wollen, aber jemand mit Erfahrung in dem Bereich wäre ev. hilfreicher.


    Die 2 Minuten Googlesuche kenne ich bereits sehr gut, herzlichen Dank.


    Möchte nicht auf 100 Seiten meine Website kategorisieren sondern der Webserver so konfigurieren dass es am Ende keine/wenig Probleme gibt.


    Im Prinzip geht es hier nicht um FortiGuard, sondern generell das Setup für den Server. FortiGuard war nur ein Beispiel.

  • Da gibt es kein "Allheilmittel" für Webseiten. Wennein Produkt der Meinung ist (in diesem Fall FortiGuard) dich so einzuordnen, dann kannst du da nur aktiv werden oder halt warten.

    Das ist vergleichbar wie MS E-Mails blockiert.

  • Die Kategorie, in die deine Website eingestuft wird impliziert ja, dass hier noch gar keine Beurteilung gemacht wurde und eine echte Kategorie noch gar nicht zugewiesen wurde. Sie bedeutet nur, dass die Domain zwar möglicherise schon länger registriert ist, aber eben noch nicht kategorisiert wurde. Es ist also völlig klar, dass es sein kann, dass eine ein halbes Jahr alte Domain noch nicht untersucht wurde. Sonst wäre sie ja untersucht worden und einer Kategorie zugewiesen worden, welcher auch immer. Die zugewiesene Kategorie hängt auch nicht (oder nur untergeordnet) von der Konfiguration des Webservers ab, sondern von den Inhalten, die unter der Domain angeboten werden. Das - außer den Inhalten - noch relativ Wichtigste dürfte ein gültiges SSL-Zertifikat für die Domain sein. Ich habe gerade mal eine Kundendomain überprüft. Außer einem Let's Encrypt SSL-Zertifikat und SPF ist da gar nichts, kein DNSSEC, kein DMARK, kein DKIM. Trotzdem wird die Website (korrekt) als Kategorie "Business" eingestuft.