DKIM richtig einstellen

[gelöschtes Individuum] · 5. April 2021

Unter einer neu geschalteten Domain habe ich zu den bestehenden DNS Einträgen:

key1._domainkey CNAME key1._domainkey.webhosting.systems

key2._domainkey CNAME key2._domainkey.webhosting.systems

noch manuell hinzugefügt:

@ TXT v=spf1 mx a include:_spf.webhosting.systems ~all

_dmarc TXT v=DMARC1; p=quarantine; rua=mailto:spam@meinedomaine.de; pct=25;

default._domainkey TXT v=DKIM1; h=sha256; k=rsa; s=email; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA3iZ3AlDj02zi0d54fFD7GNgDjlhLlBlRFP1B2/By6dwp4WRbCvY0cudVUZFJSH3oVrPucK159IYwSR98EvyXM3Gc63LeQl3XK7+B5GgLnP+DBHWDxIJBxaFGLzURpykCbXDuJ8QaS+AknhWnNP5f7KIwroevQO8+banQljw8isXO52Nv+HPeBQN63+pJC3vfDQeiipBoMLlAsRG5R73AddT1RDlL2EKm1MREqTEkZ/tBh6VIGPzxOCr/jKWsqeY5/saNqkplI1B2UeoPmrVUo2PE7uEfB8OLBYurjAVhDisTI+0zOssGousQdjxqs2/qMUhA9gR3EwnAHqY7ZhFP/wIDAQAB

Wobei der letzte DNS Eintrag eigentlich nur den Inhalt aus key1 bzw. key2 noch einmal als Kopie liefert.

Wenn ich jetzt eine Mail per https://webmail01.netcup.net verschicke, erhalte ich beispielsweise bei https://www.appmaildev.com/de/dkim auch eine korrekte DKIM, SPF und DMARC angezeigt. Soweit so gut.

Aber wenn ich eine Mail per Thunderbird verschicke erhalte ich bei Empfänger für DKIM eine Fehlermeldung im Header:

Code

Authentication-Results:mors-relay-8201.netcup.net; dkim=permerror (bad message/signature format)

Aus WebMail steht an dieser Stelle

Code

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/simple; d=meinedomain.de;
	s=key2; t=1617642324;
	bh=frcCV1k9oG9oKj3dpUqdJg1PxRT2RSN/XKdLCPjaYaY=;
	h=Date:From:To:Subject:From;
	b=gJpDO08gYCWzUASXxOKFb039BdzuiysPB4CXOKEs1lnV0XBCMVZX9IZ3LFvCGntoV
	 F3IjMrIz6ZB1w8ykDwB/7phchiIJ1wld/dPFL85vWYCIEmJZlC3+mZI1O1jxMj+j7j
	 Ia8jBeGV0wCmFZcP8RBiWY2R91VLjHbP6CSLQzOYFRtMGG1X/lZE6htoq12NamaeA7
	 rVSKd6GXPkYks50xD/jNtCgZDfu6ml9TjT9HOBmyJkAQgx6x7VlxvWqUiFkWEerxVA
	 FJq3LaDQDdBgsFCRy6ZvAcXeflHdp6CSpEwCY/6dN2+73rBo5IXRyZ8eptGhGI1CIn
	 vlETujEnD4RvQ==

Hat jemand eine Idee, warum DKIM nur mit dem WebMailer klappt, aber nicht bei Mails über smtp ?

mainziman · 5. April 2021

auch mit dem WebMailer wird indirekt ein SMTP beim Versand verwendet;

aber ich vermute hier, dass Du im ThunderBird einen anderen SMTP eingestellt hast als der Webmailer verwendet;

und dieser den Key f. die DKIM-Signatur nicht hat; und somit nicht hinzufügt;

kannst mal die Received-Zeilen der beiden Mails vergleichen?

[gelöschtes Individuum] · 6. April 2021

Im Thunderbird habe den mx2eea.netcup.net:465 eingestellt.

Die Zeilen sind schon deutlich unterschiedlich. Aus dem Webmailer:

Code

Received: from mors-relay-8403.netcup.net (localhost [127.0.0.1])
	by mors-relay-8403.netcup.net (Postfix) with ESMTPS id 4FF02L638mzB3hK
	for <[gelöschtem Individum]@dummyempfaenger.de>; Tue,  6 Apr 2021 09:46:02 +0200 (CEST)
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/simple; d=freie-experten.de;
	s=key2; t=1617695162;
	bh=frcCV1k9oG9oKj3dpUqdJg1PxRT2RSN/XKdLCPjaYaY=;
	h=Date:From:To:Subject:From;
	b=NpE8uhr/7RuFG7vMysn0eJZFS5J8E4PB6WGKbu/qVhWTiJ5ZEXtLxd098SxV1BzcL
	 d0HudBCyuUYNBcDgQIui69ng4ydORXyrskIZ0GoyXSW7I2vpQTTb3KVI1O2S1rkQdy
	 UqhRcZmLXCZey382JTwFuY2nd/IT7NmQW8NTiVFSWpAsN6tV3DSyqheicuKP3ZXNyS
	 CV93nWwuQWQlIQ4Agic7OTVkP/M9perx5L94L/pdC7fG1zdsN7pS3SlrgqqJCYjxLp
	 hT6oTuPp/i/vLzBT9/5EoLpELir9lVrnZoO6SBlKP/7A5k11PnsWRdyKWxUMpMo5MP
	 8pEIrxgOSBvPg==
Received: from policy01-mors.netcup.net (unknown [46.38.225.35])
	by mors-relay-8403.netcup.net (Postfix) with ESMTPS id 4FF02L5Xl5zB3hJ
	for <[gelöschtem Individum]@dummyempfaenger.de>; Tue,  6 Apr 2021 09:46:02 +0200 (CEST)

Alles anzeigen

und per smtp über Thunderbird:

Code

Received: from relay01-mors.netcup.net (localhost [127.0.0.1])
	by relay01-mors.netcup.net (Postfix) with ESMTPS id 4FF02c2Xqpz7vPH
	for <[gelöschtem Individum]@dummyempfaenger.de>; Tue,  6 Apr 2021 09:46:16 +0200 (CEST)
Authentication-Results:relay01-mors.netcup.net; dkim=permerror (bad message/signature format)
Received: from policy02-mors.netcup.net (unknown [46.38.225.35])
	by relay01-mors.netcup.net (Postfix) with ESMTPS id 4FF02c1q5sz7vLH
	for <[gelöschtem Individum]@dummyempfaenger.de>; Tue,  6 Apr 2021 09:46:16 +0200 (CEST)
X-Virus-Scanned: Debian amavisd-new at policy02-mors.netcup.net
Received: from mx2eea.netcup.net (unknown [10.243.12.53])
	(using TLSv1.3 with cipher TLS_AES_256_GCM_SHA384 (256/256 bits)
	 key-exchange ECDHE (P-256) server-signature RSA-PSS (2048 bits) server-digest SHA256)
	(No client certificate requested)
	by policy02-mors.netcup.net (Postfix) with ESMTPS id 4FF02b65Dvz8sWr
	for <[gelöschtem Individum]@dummyempfaenger.de>; Tue,  6 Apr 2021 09:46:15 +0200 (CEST)
Received: from [IPv6:2a02:8071:ad8:3d00:bc53:761a:88ad:fd62] (unknown [IPv6:2a02:8071:ad8:3d00:bc53:761a:88ad:fd62])
	by mx2eea.netcup.net (Postfix) with ESMTPSA id 61DAA1A0E4F
	for <[gelöschtem Individum]@dummyempfaenger.de>; Tue,  6 Apr 2021 09:46:15 +0200 (CEST)

Alles anzeigen

aRaphael · 6. April 2021

Evtl. mal versuchen ein zusätzliches c=relaxed; in den DKIM-Record einzubauen..

mainziman · 6. April 2021

dei fraglichen

mors-relay-8403.netcup.net <-- der od.

policy01-mors.netcup.net <-- der haben den DKIM-Key

policy02-mors.netcup.net <-- der bzw.

relay01-mors.netcup.net <-- der kommen aber beim Versand via SMTP mx###.netcup.net zum Einsatz

ich denke das ist was f. den Support;

[gelöschtes Individuum] · 6. April 2021

Ich vermute gerade, dass es vielleicht an IPv6 liegt. Thunderbird vom PC hat nur eine IPv6 Verbindung ins Internet. Wenn ich eine Mail vom Smartphone (gleiche Kontodaten) über den Handyprovider aus verschicke, dann klappt DKIM auch. Ich habe jetzt mal in meiner DNS zusätzlich zum Eintrag "mail" "A" Eintrag auf 91.204.46.234 noch einen mail AAAA auf 2a03:4000:0:493:6822:a0ff:fe39:6fc1 eingefügt. Ich warte jetzt mal, ob es was hilft.

mainziman · 6. April 2021

das sollt egal sein, ist ja der selbe Host, den Du im Thunderbird eingestellt hast: mx2eea.netcup.net

ich vermute eher, dass weil der die Mail zu anderen Relays weiterreicht, dass deswegen keine DKIM Signatur

am Ende 'rauskommt;

[gelöschtes Individuum] · 6. April 2021

Du könntest Recht haben. Auch bei dem Aufruf vom Smartphone aus per smtp wird mors-relay-8403 genommen und damit klappt es auch:

Code

Received: from policy02-mors.netcup.net (unknown [46.38.225.35])
	by mors-relay-8403.netcup.net (Postfix) with ESMTPS id 4FF8XR4PJhzB1Fv
	for <[gelöschtem Individum]@dummyempfaenger.de>; Tue,  6 Apr 2021 16:09:11 +0200 (CEST)

Ich mach mal ein Ticket auf...

mainziman · 6. April 2021

jetzt machst mich neugierig; Du hast am Phone, den selben SMTP Server mit den selben Zugangsdaten wie im Thunderbird am PC?

und am Phone wird des dann doch anderes relayed als am PC mit ThunderBird,

oder wie darf ich das verstehen?

fommio · 27. August 2021

Zitat von [gelöschtem Individum]
Du könntest Recht haben. Auch bei dem Aufruf vom Smartphone aus per smtp wird mors-relay-8403 genommen und damit klappt es auch:
Code
Received: from policy02-mors.netcup.net (unknown [46.38.225.35])
    by mors-relay-8403.netcup.net (Postfix) with ESMTPS id 4FF8XR4PJhzB1Fv
    for <[gelöschtem Individum]@dummyempfaenger.de>; Tue,  6 Apr 2021 16:09:11 +0200 (CEST)
Ich mach mal ein Ticket auf...

Hey! Darf ich fragen, was dabei rausgekommen ist?

Benutze unter Thunderbird noch zusätzlich die tolle Extension DKIM Verifier, um mir bei jeder Nachricht sofort einen klaren Überblick im Posteingang zu verschaffen. Ohne weitere Konfigurationen (DNS / Clients) wird von all meinen Mailclients (auch Thunderbird) das "Netcup-DKIM" korrekt in die Header beim Versand gesetzt.

AndreasBoehm · 15. Februar 2022

Hey @jergs,

konntest du das Problem lösen?

Ich stehe aktuell vor dem gleichen Problem.

DKIM richtig einstellen

Ähnliche Themen

SPF DKIM und DMARC richtig einstellen?

Root-Server Mails funktionieren nicht (MX Record, Plesk, Root-Server)

Tags