DKIM wird von mail testern moniert

Kann ich nicht nachvollziehen, DKIM ist bei mir mit den selben Einträgen ok. Jedenfalls bei Adresse 2 und 3 deiner Liste. Der erste faselt was von Länge der Keys, die er nicht bestimmen könnte, und der letzte gibt nichts Konkretes raus, sondern will mich an seine Partner vermitteln.

Aber auch

https://mecsa.jrc.ec.europa.eu/

sagt, dass SPF und DKIM ok sind.

hatte da mal den 4ten getestet:

seltsame Probleme ...

(-2 points) Your "from" domain does not match your DKIM "from" domain or does not have DKIM signing.

(-1 points) The DKIM signature is not from the author's or envelope-from domain.

(ist doch logisch, wenn man f. alle Domains das selbe verwendet ...)

das ist Quark

(-1 points) There is no List-Unsubscribe header.

tab den komischen Test kannst vergessen,

zu mehr als Something went Wrong, please try again. taugt der nicht;

und nebenbei brauchte der mehr als 1 Minute die Seite überhaupt im Browser anzuzeigen ...

(und nein ich bin nicht zu doof des Captcha einzutippen )

das hier: https://www.appmaildev.com/en/dkim

ist der bessere der gelisteten Validatoren

Zitat von mainziman

seltsame Probleme ...

(-2 points) Your "from" domain does not match your DKIM "from" domain or does not have DKIM signing.

(-1 points) The DKIM signature is not from the author's or envelope-from domain.

(ist doch logisch, wenn man f. alle Domains das selbe verwendet ...)

Warum verwendest du für alle Domains "das selbe"?

Wenn du OpenDKIM einsetzt ist "SigningTable" und "KeyTable" das Stichwort dies zu lösen. Selbst wenn du für alle das gleiche Schlüsselpaar verwendest, die Config hierfür sollte schon "pro Domain" erfolgen. Kann man für alle Postfix "local-host-names" (das können in einem Multi-Domain-Setup ja auch sehr viele sein) freilich auch automatisiert generieren.

Zitat von gunnarh

Warum verwendest du für alle Domains "das selbe"?

weil es nicht sinnlos verkompliziert werden muss¹;

im DNS braucht es für jede Domain bis auf SPF einfach nur CNAME Einträge

hpkp            IN CNAME        hpkp.example.de.
mail._domainkey IN CNAME        _dkim.example.de.
mta-sts         IN CNAME        mta-sts.example.de.
_mta-sts        IN CNAME        _mta-sts.example.de.
_dmarc          IN CNAME        _dmarc.example.de.

es haben auch alle Domains den selben MX z.B. mail.example.de,

und auch den selben SPF

IN TXT          "v=spf1 redirect=_spf.example.de"

die von Dir erähnte SigningTable sieht einfach so aus

*@example.de            mail._domainkey.smtp.example.de
*@example.net           mail._domainkey.smtp.example.de
*@example.com           mail._domainkey.smtp.example.de
...

und die KeyTable braucht überhaupt nur einen Eintrag

mail._domainkey.smtp.example.de        smtp.example.de:mail:/etc/opendkim/keys/mail.private

¹ Mailprovider machen es grundsätzlich so; netcup selbst macht es ja auch so,

dass beim Webhosting jeder nur CNAME-Einträge auf die DKIM-Public-Keys hat;

Zitat von mainziman

das ist Quark

im sinne von zitat Holger: "empfänger bestimmt was spam ist" ist das doch vollkommen legitim!

Zitat von hoedlmoser

im sinne von zitat Holger: "empfänger bestimmt was spam ist" ist das doch vollkommen legitim!

Falsch, oder haben bei Dir mit einem Mailclient wie z.B. Thunderbird, Outlook, ... versandte Mails

List-Unsubscribe im Mail-Header drin?

es geht hier um eine Hilfe, welche zegen soll, ob man DKIM, ... korrekt konfiguriert hat;

und da hat derartiges genau nichts zu suchen;

ebenso ist bei so einer Hilfe die Auswertung von SpamAssassin, rspamd, ... sowie

div. Sperrlisten fehl am Platz;

noch dazu bei einem derart seltsamen Mißverhältnis, welches suggerieren könnte,

dass ein miserable konfigurierter Mailserver besser dasteht nur weil dessen IP(v6) in keiner Sperrliste ist;

Zitat von mainziman

tab den komischen Test kannst vergessen,

zu mehr als Something went Wrong, please try again. taugt der nicht;

und nebenbei brauchte der mehr als 1 Minute die Seite überhaupt im Browser anzuzeigen ...

(und nein ich bin nicht zu doof des Captcha einzutippen )

das hier: https://www.appmaildev.com/en/dkim

ist der bessere der gelisteten Validatoren

Alles anzeigen

Aber du hast, nachdem du das Captcha eingetippt hast, schon eine Mail an die von dir angegebene Adresse bekommen und sie nicht als Spam irgendwo im Daten-Nirwana versenkt? Und du hast ggf auch darauf geantwortet? sonst ist ja klar, dass irgendwann "Something went wrong..." kommt.

Den von dir bevorzugten aus der Liste bevorzuge ich auch. Der erklärt wenigstens auch gleich, dass man die angemeckerten Domainkeys getrost ignorieren kann, wenn DKIM als ok angezeigt wird.

Zitat von tab

Aber du hast, nachdem du das Captcha eingetippt hast, schon eine Mail an die von dir angegebene Adresse bekommen und sie nicht als Spam irgendwo im Daten-Nirwana versenkt?

Nein, nachdem ich des Captcha eingetippt habe, ist er gleich mit Something went Wrong, please try again. gekommen;

nach dem xten mal hab ich es aufgegeben, weil so eine Fehlermeldung sagt alles und nichts aus;

ich bevorzuge den deswegen, weil der keinen anderen Quark, der damit nix zu tun hat macht;

die anderen sind ja wie ein Weinverkoster der kritisiert, dass Deine alte Möhre keine Ledersitze hat ;

Zitat von mainziman

ob man DKIM, ... korrekt konfiguriert hat;

wo liest Du das aus "Are your emails landing in the spam folder?"?

und mails von Holgers würd ich sowieso nur mit X-Holger header annehmen.

Zitat von hoedlmoser

wo liest Du das aus "Are your emails landing in the spam folder?"?

mach den Test, dann siehst es ...

Zitat von mainziman

mach den Test, dann siehst es ...

wir reden eh noch vom 4. test? zeigs mir bitte? ja, DKIM ist einer der tests. die seite ist aber nicht explizit und ausschließlich für DKIM.

Zitat von hoedlmoser

wir reden eh noch vom 4. test? zeigs mir bitte?

Ja und der stellt auf Grund von UCEPROTECT-3 einen MTA als derart miserabel¹ hin,

weil er einfach eine unorthodoxe Gewichtung macht, dass der gesamte "Test" eigentlich sinnlos ist;

wie gesagt: "der Empfänger entscheidet was SPAM ist und was nicht"

¹ bei meinem kommt da gerado so eine 4 heraus, bei einer mit 5 endenden Notenskala

[1 ... Sehr gut, 2 ... Gut, 3 ... Befriedigend, 4 ... Genügend, 5 ... Nicht genügend]

mainziman ich hab Dich nach der stelle gefragt wo fürn 4. test angeführt ist, dass er ausschließlich für DKIM sei.

stattdessen machst Du auf mitleidstour wie schlecht nicht dein verwendeter MTA bewertet wird.

Zitat von hoedlmoser

wir reden eh noch vom 4. test? zeigs mir bitte? ja, DKIM ist einer der tests. die seite ist aber nicht explizit und ausschließlich für DKIM.

Das ist das Problem.

Zitat von mainziman

Ja und der stellt auf Grund von UCEPROTECT-3 einen MTA als derart miserabel¹ hin,

weil er einfach eine unorthodoxe Gewichtung macht, dass der gesamte "Test" eigentlich sinnlos ist;

wie gesagt: "der Empfänger entscheidet was SPAM ist und was nicht"

¹ bei meinem kommt da gerado so eine 4 heraus, bei einer mit 5 endenden Notenskala

[1 ... Sehr gut, 2 ... Gut, 3 ... Befriedigend, 4 ... Genügend, 5 ... Nicht genügend]

Alles anzeigen

Die irgendwie gewichtete Gesamtnote musst du halt ignorieren, kannst du ja auch, wenn du eh nur wissen willst, ob DKIM korrekt ist. Dass hier eine UCE-PROTECT L3 Listung -18 Punkte macht, während andere Blacklists wesentlich geringere Abzüge bringen (-4), ist zumindest sehr fragwürdig. Solange aber DKIM als Einzelergebnis angezeigt wird und nicht nur die Gesamtnote, kann ich zumindest damit leben. Irgendwie scheint der Test aber nur sporadisch zu funktionieren oder er ist chronisch überlastet.

Vorhin mal meine outlook.de Adresse getestet. Das ging recht flott, innerhalb der angekündigten 15-30 Sekunden. Ergebnis: @Microsoft -> zurück zum Zeichenbrett. Auf einer Blacklist, DKIM Key zu kurz.

Der Test bitte auch gleich nochmal zurück zum Zeichenbrett. Was interessiert mich gmail? MS scheint es ja auch nicht zu interessieren!

Außerdem hat er gestern Abend mindestens 5 Minuten kein Ergebnis gebracht, das kam erst, nachdem ich nach ca 5 Minuten noch eine zweite Mail hinterher geschickt habe.

Auf den "fehlenden" List-Unsubscribe Header ist gesch***en! Welche Liste überhaupt? Und will ich wirklich einen Mechanismus vorhalten, mit dem sich Empfänger meiner Mails vom Empfang meiner Mails "unsubscriben" können, auch wenn sie auf gar keiner Liste sind? Wird mir dann beim Verfassen einer Mail von Thunderbird verboten, sie abzuschicken?

DKIM wurde jedenfalls abgenickt und dass ich DMARC bei der eigentlich nicht produktiv genutzten Adresse gar nicht erst eingerichtet habe weiss ich selbst. Habe explizit diese Adresse zum Test hergenommen, weil sie eben den netcup Mailserver benutzt. Fazit: DKIM ist mit den von netcup voreingetragenen Werten gültig! Auch gemäß diesem Test.

Ich bin jetzt mal gespannt, ob ich an meine zwei Testadressen künftig irgendwelche Werbemails bekomme. Z.B. ob ich meine Adresse nicht durch deren "Partner" optimieren lassen will oder sonstigen Müll. Da kann ich dann auch gleich prüfen, ob der angemeckerte List-Unsubscribe Header enthalten ist.

Edit: Ach die Werbemail kam ja schon gestern Abend, der Header ist vorhanden .

Zitat

Hey - your MailGenius Score fell excessively low at under 85. This harms you every time you send emails. Doing nothing also erodes your inboxing reputation. If you’re on an Email Sending Platform, it’s risking your account. We urge you to fix this immediately. Before irreversible damage is done. The easy fix is to start a trial with MailGenius’s partner and according to top technology publications is the world’s #1 email growth-hacking platform: Start inboxing and grow your list 10X faster It’s the only ESP that automagically grows your list size. Vetted by 65,000+ businesses. We’ll ensure you stay out of the spam folder. In fact, we’ve been able to double many senders’ Open Rates within 24 hours. Speak soon ok? Regards, Mary & MailGenius SendHive Team Unsubscribe

Zitat von tab

Auf den "fehlenden" List-Unsubscribe Header ist gesch***en! Welche Liste überhaupt?

das ist doch deren geschäftsmodell unternehmen beim versand von listen zu beraten.

Ja, da ich keine Mailinglisten/Newsletter versende, kann ich natürlich sehr gern auf den Header verzichten.

Hay,

Zitat von hoedlmoser

das ist doch deren geschäftsmodell unternehmen beim versand von listen zu beraten.

das ist mit UCE-PROTECT ja genauso, die bieten aktiv ihren kostenpflichtigen Whitelist-Service an - für einzelne Hosts. Und dass die Level 3 Spamlist auf Netzwerk-/Providerlevel arbeitet finde ich persönlich sehr zum K*tzen, da sind sie mit Microsoft auf dem gleichen Niveau - nur dass man bei Microsoft manchmal sogar wieder draußen ist, bei UCE-PROTECT L3 habe ich netcup (und damit meine Server) niemals nicht in L3 gesehen... aber jeder hat so seine Nemesis, bei mir ist es UCE-Protect dicht gefolgt von Microsoft Mailservern... ich finde schon die gewählte Ausdrucksweise bei UCE-Protect schon sehr grenzwertig. Und dass sie ihre Grenzwerte gerne mal spontan nach unten anpassen, damit nur mehr Server zum nächsten Level durchrutschen und da sind wir sind wir am Anfang meines Absatzes angekommen...

CU, Peter

Zitat von hoedlmoser

stattdessen machst Du auf mitleidstour wie schlecht nicht dein verwendeter MTA bewertet wird.

Du solltest contextsensitiv lesen.

es geht darum dass so ein Test f. die Tonne ist, wenn er MTAs die alles richtig machen,

wegen enes Geschäftsmodells einer dubiosen Blacklist derart miserabel hinstellen,

aber andere, welche eben nicht alles richtig machen, aber weil deren IPs nicht in dieser Blacklist sind

dann besser dastehen, es aber nicht sind;

bei solchen Tests dürfen beim Ergebnis Geschäftsinteressen nicht im Vordergrund stehen; tun sie aber;

mit einer Mitleidstour hat das sicher nichts zu tun;

der Mailgenius-Test hilft vlt. einem SPAM-Sende Profi,

einem Otto-Normal-Admin eines MTAs nur marginal bis gar nicht;

tab kann ich nachvollziehen, nachdem was die Site alles clientseitig zusammenschustert;

Hay,

Zitat von mainziman

es geht darum dass so ein Test f. die Tonne ist, wenn er MTAs die alles richtig machen,

(es schmerzt, aber)

hier hat er recht. Der "List-Unsubscribe" - Header ist (eigentlich) ein client-seitiger Header, der hat in der Serverprüfung nichts verloren. Firmen, die Newsletter versenden (oder das Versenden von Newslettern verkaufen), sollten den freilich schon standardmäßig verwenden und da ist es im MTA gut aufgehoben, damit man ihn nur nicht mal vergisst. Abgesehen davon - faktisch - vermindert der header spamming nicht, der clientsupport (empfängerseitig) ist auch mäßig.

Wer z.B. ein AOL-Postfach hat (ich habe ungefähr noch 10 Stück davon) und über den webmail client liest, dem wird auffallen, dass alle Mails mit diesem Header in einen IMAP-Ordner "bulk" einsortiert werden. Das ist sowas wie "ich bin eigentlich spam, aber Du musst aktiv werden, damit es zum spam wird" - und in den USA (wozu die AOL-Postfächer nunmal gehören) ist diese Art des unangeforderten Marketings leider üblich...

CU, Peter