DKIM wird von mail testern moniert

  • Moin, moin,


    ich habe u.a. zwei EiWoMiSau und ein Webhosting 8000. Leider wird von nahezu allen Mailtestern wie z.B.

    beklagt, dass die DKIM keys bzw. Signatur fehlen.

    Im CCP sind im DNS unverändert die Standardwerte

    Code
    key1._domainkey CNAME key1._domainkey.webhosting.systems
    key2._domainkey CNAME key2._domainkey.webhosting.systems

    hinterlegt.


    Habt ihr eine Idee, woran das noch liegen könnte? Die können doch nicht alle falsch liegen.

    Webhosting 8000, mehrere Wollmilchsäue

  • Kann ich nicht nachvollziehen, DKIM ist bei mir mit den selben Einträgen ok. Jedenfalls bei Adresse 2 und 3 deiner Liste. Der erste faselt was von Länge der Keys, die er nicht bestimmen könnte, und der letzte gibt nichts Konkretes raus, sondern will mich an seine Partner vermitteln.

    Aber auch

    https://mecsa.jrc.ec.europa.eu/

    sagt, dass SPF und DKIM ok sind.

  • hatte da mal den 4ten getestet:


    seltsame Probleme ...

    (-2 points) Your "from" domain does not match your DKIM "from" domain or does not have DKIM signing.

    (-1 points) The DKIM signature is not from the author's or envelope-from domain.

    (ist doch logisch, wenn man f. alle Domains das selbe verwendet ...)


    das ist Quark

    (-1 points) There is no List-Unsubscribe header.


    tab den komischen Test kannst vergessen,

    zu mehr als Something went Wrong, please try again. taugt der nicht;

    und nebenbei brauchte der mehr als 1 Minute die Seite überhaupt im Browser anzuzeigen ...

    (und nein ich bin nicht zu doof des Captcha einzutippen X( )


    das hier: https://www.appmaildev.com/en/dkim

    ist der bessere der gelisteten Validatoren

    Grüße / Greetings

    Walter H.


    RS, VPS, Webhosting - was man halt so braucht;)

    Edited once, last by mainziman ().

  • seltsame Probleme ...

    (-2 points) Your "from" domain does not match your DKIM "from" domain or does not have DKIM signing.

    (-1 points) The DKIM signature is not from the author's or envelope-from domain.

    (ist doch logisch, wenn man f. alle Domains das selbe verwendet ...)

    Warum verwendest du für alle Domains "das selbe"?

    Wenn du OpenDKIM einsetzt ist "SigningTable" und "KeyTable" das Stichwort dies zu lösen. Selbst wenn du für alle das gleiche Schlüsselpaar verwendest, die Config hierfür sollte schon "pro Domain" erfolgen. Kann man für alle Postfix "local-host-names" (das können in einem Multi-Domain-Setup ja auch sehr viele sein) freilich auch automatisiert generieren.

  • Warum verwendest du für alle Domains "das selbe"?

    weil es nicht sinnlos verkompliziert werden muss¹;

    im DNS braucht es für jede Domain bis auf SPF einfach nur CNAME Einträge

    Code
    hpkp            IN CNAME        hpkp.example.de.
    mail._domainkey IN CNAME        _dkim.example.de.
    mta-sts         IN CNAME        mta-sts.example.de.
    _mta-sts        IN CNAME        _mta-sts.example.de.
    _dmarc          IN CNAME        _dmarc.example.de.

    es haben auch alle Domains den selben MX z.B. mail.example.de,

    und auch den selben SPF

    Code
    IN TXT          "v=spf1 redirect=_spf.example.de"


    die von Dir erähnte SigningTable sieht einfach so aus

    Code
    *@example.de            mail._domainkey.smtp.example.de
    *@example.net           mail._domainkey.smtp.example.de
    *@example.com           mail._domainkey.smtp.example.de
    ...

    und die KeyTable braucht überhaupt nur einen Eintrag

    Code
    mail._domainkey.smtp.example.de        smtp.example.de:mail:/etc/opendkim/keys/mail.private


    ¹ Mailprovider machen es grundsätzlich so; netcup selbst macht es ja auch so,

    dass beim Webhosting jeder nur CNAME-Einträge auf die DKIM-Public-Keys hat;

    Grüße / Greetings

    Walter H.


    RS, VPS, Webhosting - was man halt so braucht;)

    Edited once, last by mainziman ().

  • im sinne von zitat Holger: "empfänger bestimmt was spam ist" ist das doch vollkommen legitim!

    Falsch, oder haben bei Dir mit einem Mailclient wie z.B. Thunderbird, Outlook, ... versandte Mails

    List-Unsubscribe im Mail-Header drin?

    es geht hier um eine Hilfe, welche zegen soll, ob man DKIM, ... korrekt konfiguriert hat;

    und da hat derartiges genau nichts zu suchen;


    ebenso ist bei so einer Hilfe die Auswertung von SpamAssassin, rspamd, ... sowie

    div. Sperrlisten fehl am Platz;


    noch dazu bei einem derart seltsamen Mißverhältnis, welches suggerieren könnte,

    dass ein miserable konfigurierter Mailserver besser dasteht nur weil dessen IP(v6) in keiner Sperrliste ist;

    Grüße / Greetings

    Walter H.


    RS, VPS, Webhosting - was man halt so braucht;)

    Edited once, last by mainziman ().

  • Aber du hast, nachdem du das Captcha eingetippt hast, schon eine Mail an die von dir angegebene Adresse bekommen und sie nicht als Spam irgendwo im Daten-Nirwana versenkt? Und du hast ggf auch darauf geantwortet? sonst ist ja klar, dass irgendwann "Something went wrong..." kommt.


    Den von dir bevorzugten aus der Liste bevorzuge ich auch. Der erklärt wenigstens auch gleich, dass man die angemeckerten Domainkeys getrost ignorieren kann, wenn DKIM als ok angezeigt wird.

  • Aber du hast, nachdem du das Captcha eingetippt hast, schon eine Mail an die von dir angegebene Adresse bekommen und sie nicht als Spam irgendwo im Daten-Nirwana versenkt?

    Nein, nachdem ich des Captcha eingetippt habe, ist er gleich mit Something went Wrong, please try again. gekommen;

    nach dem xten mal hab ich es aufgegeben, weil so eine Fehlermeldung sagt alles und nichts aus;


    ich bevorzuge den deswegen, weil der keinen anderen Quark, der damit nix zu tun hat macht;

    die anderen sind ja wie ein Weinverkoster der kritisiert, dass Deine alte Möhre keine Ledersitze hat :D ;

    Grüße / Greetings

    Walter H.


    RS, VPS, Webhosting - was man halt so braucht;)

  • wir reden eh noch vom 4. test? zeigs mir bitte?

    Ja und der stellt auf Grund von UCEPROTECT-3 einen MTA als derart miserabel¹ hin,

    weil er einfach eine unorthodoxe Gewichtung macht, dass der gesamte "Test" eigentlich sinnlos ist;

    wie gesagt: "der Empfänger entscheidet was SPAM ist und was nicht"


    ¹ bei meinem kommt da gerado so eine 4 heraus, bei einer mit 5 endenden Notenskala

    [1 ... Sehr gut, 2 ... Gut, 3 ... Befriedigend, 4 ... Genügend, 5 ... Nicht genügend]

    Grüße / Greetings

    Walter H.


    RS, VPS, Webhosting - was man halt so braucht;)

  • wir reden eh noch vom 4. test? zeigs mir bitte? ja, DKIM ist einer der tests. die seite ist aber nicht explizit und ausschließlich für DKIM.

    Das ist das Problem.

    Die irgendwie gewichtete Gesamtnote musst du halt ignorieren, kannst du ja auch, wenn du eh nur wissen willst, ob DKIM korrekt ist. Dass hier eine UCE-PROTECT L3 Listung -18 Punkte macht, während andere Blacklists wesentlich geringere Abzüge bringen (-4), ist zumindest sehr fragwürdig. Solange aber DKIM als Einzelergebnis angezeigt wird und nicht nur die Gesamtnote, kann ich zumindest damit leben. Irgendwie scheint der Test aber nur sporadisch zu funktionieren oder er ist chronisch überlastet.


    Vorhin mal meine outlook.de Adresse getestet. Das ging recht flott, innerhalb der angekündigten 15-30 Sekunden. Ergebnis: @Microsoft -> zurück zum Zeichenbrett. Auf einer Blacklist, DKIM Key zu kurz.

    Der Test bitte auch gleich nochmal zurück zum Zeichenbrett. Was interessiert mich gmail? MS scheint es ja auch nicht zu interessieren!


    Außerdem hat er gestern Abend mindestens 5 Minuten kein Ergebnis gebracht, das kam erst, nachdem ich nach ca 5 Minuten noch eine zweite Mail hinterher geschickt habe.

    Auf den "fehlenden" List-Unsubscribe Header ist gesch***en! Welche Liste überhaupt? Und will ich wirklich einen Mechanismus vorhalten, mit dem sich Empfänger meiner Mails vom Empfang meiner Mails "unsubscriben" können, auch wenn sie auf gar keiner Liste sind? Wird mir dann beim Verfassen einer Mail von Thunderbird verboten, sie abzuschicken?

    DKIM wurde jedenfalls abgenickt und dass ich DMARC bei der eigentlich nicht produktiv genutzten Adresse gar nicht erst eingerichtet habe weiss ich selbst. Habe explizit diese Adresse zum Test hergenommen, weil sie eben den netcup Mailserver benutzt. Fazit: DKIM ist mit den von netcup voreingetragenen Werten gültig! Auch gemäß diesem Test.


    Ich bin jetzt mal gespannt, ob ich an meine zwei Testadressen künftig irgendwelche Werbemails bekomme. Z.B. ob ich meine Adresse nicht durch deren "Partner" optimieren lassen will oder sonstigen Müll. Da kann ich dann auch gleich prüfen, ob der angemeckerte List-Unsubscribe Header enthalten ist. ;)


    Edit: Ach die Werbemail kam ja schon gestern Abend, der Header ist vorhanden ^^ .

    Quote

    Hey - your MailGenius Score fell excessively low at under 85. This harms you every time you send emails. Doing nothing also erodes your inboxing reputation. If you’re on an Email Sending Platform, it’s risking your account. We urge you to fix this immediately. Before irreversible damage is done. The easy fix is to start a trial with MailGenius’s partner and according to top technology publications is the world’s #1 email growth-hacking platform: Start inboxing and grow your list 10X faster It’s the only ESP that automagically grows your list size. Vetted by 65,000+ businesses. We’ll ensure you stay out of the spam folder. In fact, we’ve been able to double many senders’ Open Rates within 24 hours. Speak soon ok? Regards, Mary & MailGenius SendHive Team Unsubscribe

  • Hay,

    das ist doch deren geschäftsmodell unternehmen beim versand von listen zu beraten.

    das ist mit UCE-PROTECT ja genauso, die bieten aktiv ihren kostenpflichtigen Whitelist-Service an - für einzelne Hosts. Und dass die Level 3 Spamlist auf Netzwerk-/Providerlevel arbeitet finde ich persönlich sehr zum K*tzen, da sind sie mit Microsoft auf dem gleichen Niveau - nur dass man bei Microsoft manchmal sogar wieder draußen ist, bei UCE-PROTECT L3 habe ich netcup (und damit meine Server) niemals nicht in L3 gesehen... aber jeder hat so seine Nemesis, bei mir ist es UCE-Protect dicht gefolgt von Microsoft Mailservern... ich finde schon die gewählte Ausdrucksweise bei UCE-Protect schon sehr grenzwertig. Und dass sie ihre Grenzwerte gerne mal spontan nach unten anpassen, damit nur mehr Server zum nächsten Level durchrutschen und da sind wir sind wir am Anfang meines Absatzes angekommen...


    CU, Peter

    Peter Kleemann // https://www.pkleemann.de // +49 621 1806222-0 // Kann Programme, Internet, Netzwerke und Telefon.

  • stattdessen machst Du auf mitleidstour wie schlecht nicht dein verwendeter MTA bewertet wird.

    Du solltest contextsensitiv lesen. X(


    es geht darum dass so ein Test f. die Tonne ist, wenn er MTAs die alles richtig machen,

    wegen enes Geschäftsmodells einer dubiosen Blacklist derart miserabel hinstellen,

    aber andere, welche eben nicht alles richtig machen, aber weil deren IPs nicht in dieser Blacklist sind

    dann besser dastehen, es aber nicht sind;

    bei solchen Tests dürfen beim Ergebnis Geschäftsinteressen nicht im Vordergrund stehen; tun sie aber;

    mit einer Mitleidstour hat das sicher nichts zu tun;


    der Mailgenius-Test hilft vlt. einem SPAM-Sende Profi,

    einem Otto-Normal-Admin eines MTAs nur marginal bis gar nicht;


    tab kann ich nachvollziehen, nachdem was die Site alles clientseitig zusammenschustert;

    Grüße / Greetings

    Walter H.


    RS, VPS, Webhosting - was man halt so braucht;)

    Edited 6 times, last by mainziman ().

  • Hay,

    es geht darum dass so ein Test f. die Tonne ist, wenn er MTAs die alles richtig machen,

    (es schmerzt, aber)

    hier hat er recht. Der "List-Unsubscribe" - Header ist (eigentlich) ein client-seitiger Header, der hat in der Serverprüfung nichts verloren. Firmen, die Newsletter versenden (oder das Versenden von Newslettern verkaufen), sollten den freilich schon standardmäßig verwenden und da ist es im MTA gut aufgehoben, damit man ihn nur nicht mal vergisst. Abgesehen davon - faktisch - vermindert der header spamming nicht, der clientsupport (empfängerseitig) ist auch mäßig.


    Wer z.B. ein AOL-Postfach hat (ich habe ungefähr noch 10 Stück davon) und über den webmail client liest, dem wird auffallen, dass alle Mails mit diesem Header in einen IMAP-Ordner "bulk" einsortiert werden. Das ist sowas wie "ich bin eigentlich spam, aber Du musst aktiv werden, damit es zum spam wird" - und in den USA (wozu die AOL-Postfächer nunmal gehören) ist diese Art des unangeforderten Marketings leider üblich...


    CU, Peter

    Peter Kleemann // https://www.pkleemann.de // +49 621 1806222-0 // Kann Programme, Internet, Netzwerke und Telefon.

    Like 1