Reseller Webhosting - DKIM Problem

p0se · Feb 14th 2025

Hallo zusammen

ich hoffe ich bin im richtigen Bereich, da es keinen Bereich für Reseller Hosting gibt, scheint mir das CCP naheliegend.

Zu meinem Problem.

Ich habe ein Reseller Webhosting 2000 NUE und versuche hier gerade dkim einzurichten.

Um dkim zu nutzen habe ich die Domain, welche bei Netcup liegt, dem Reseller Hosting zugewiesen ist folgende DNS Records ergänzt:

key1.domainkey	CNAME	key1._domainkey.webhosting.systems
key2.domainkey	CNAME	key2._domainkey.webhosting.systems

die default MX Records sehen so aus:

@	MX	10	mail.meinedomain.de
@	MX	50	rw0b0d.webhosting.systems

Mittlerweile sind auch mehrere Tage vergangen.

Ein nslookup -type=cname key1.domainkey.meinedomain.de 8.8.8.8 ergibt:

Code

Server:  dns.google
Address:  8.8.8.8

Nicht autorisierende Antwort:
key1.domainkey.meinedomain.de    canonical name = key1._domainkey.webhosting.systems

Scheint also schon mal korrekt ausgegeben zu werden.

Ein nslookup -type=txt key1._domainkey.webhosting.systems 8.8.8.8 ergibt:

Code

Server:  dns.google
Address:  8.8.8.8

Nicht autorisierende Antwort:
key1._domainkey.webhosting.systems      text =

        "v=DKIM1; h=sha256; k=rsa; s=email; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA3iZ3AlDj02zi0d54fFD7GNgDjlhLlBlRFP1B2/By6dwp4WRbCvY0cudVUZFJSH3oVrPucK159IYwSR98EvyXM3Gc63LeQl3XK7+B5GgLnP+DBHWDxIJBxaFGLzURpykCbXDuJ8QaS+AknhWnNP5f7KIwroevQO8+banQljw8isXO52"
        "Nv+HPeBQN63+pJC3vfDQeiipBoMLlAsRG5R73AddT1RDlL2EKm1MREqTEkZ/tBh6VIGPzxOCr/jKWsqeY5/saNqkplI1B2UeoPmrVUo2PE7uEfB8OLBYurjAVhDisTI+0zOssGousQdjxqs2/qMUhA9gR3EwnAHqY7ZhFP/wIDAQAB"

Der Schlüssel ist also ebenfalls hinterlegt und abrufbar.

SPF kontrollieren nslookup -type=txt meinedomain.de 8.8.8.8

Code

Server:  dns.google
Address:  8.8.8.8

Nicht autorisierende Antwort:
meinedomain.de   text =

        "v=spf1 mx a include:_spf.webhosting.systems ~all"

Auch korrekt

DMARD kontrollieren nslookup -type=txt _dmarc.meinedomain.de 8.8.8.8

Code

Server:  dns.google
Address:  8.8.8.8

Nicht autorisierende Antwort:
_dmarc.meinedomain.de    text =

        "v=DMARC1; p=quarantine; sp=reject; adkim=s; aspf=s; pct=100"

Auch korrekt

Frage ich jedoch direkt nach

nslookup -type=txt default._domainkey.meinedomain.de 8.8.8.8

oder

nslookup -type=txt key1._domainkey.meinedomain.de 8.8.8.8

erhalte ich

Code

Server:  dns.google
Address:  8.8.8.8

meinedomain.de
        primary name server = root-dns.netcup.net
        responsible mail addr = dnsadmin.netcup.net
        serial  = 2025021119
        refresh = 28800 (8 hours)
        retry   = 7200 (2 hours)
        expire  = 1209600 (14 days)
        default TTL = 86400 (1 day)

Display More

Hier sollte doch der DKMI Eintrag ausgegeben werden?

Testmail an check-auth@verifier.port25.com

Code

Summary of Results
==========================================================
SPF check:          pass
"iprev" check:      pass
DKIM check:         none

==========================================================
Details:
==========================================================

HELO hostname:  relay.yourmailgateway.de
Source IP:      188.68.63.98
mail-from:      kontakt@meinedomain.de

----------------------------------------------------------
SPF check details:
----------------------------------------------------------
Result:         pass
ID(s) verified: smtp.mailfrom=kontakt@meinedomain.de

DNS record(s):
    meinedomain.de. 86400 IN TXT "v=spf1 mx a include:_spf.webhosting.systems ~all"
    meinedomain.de. 86400 IN MX 10 mail.meinedomain.de.
    meinedomain.de. 86400 IN MX 50 rw0b0d.webhosting.systems.
    mail.meinedomain.de. 300 IN A 185.243.11.13
    rw0b0d.webhosting.systems. 300 IN A 185.243.11.13
    meinedomain.de. 300 IN A 185.243.11.13
    _spf.webhosting.systems. 1068 IN TXT "v=spf1 include:_spf_v4.webhosting.systems include:_spf_v6.webhosting.systems ~all"
    _spf_v4.webhosting.systems. 1325 IN TXT "v=spf1 ip4:46.38.249.0/25 ip4:188.68.47.0/24 ip4:94.16.123.254 ip4:194.59.204.53 ip4:185.244.192.112 ip4:185.244.192.111 ip4:185.244.194.184 ip4:188.68.63.160/28 ip4:46.38.247.112/28 ip4:188.68.61.96/27 ip4:188.68.63.96/27 ip4:194.59.204.23 ip4:194.59.206.189 ip4:194.59.207.99 ip4:185.244.195.67 ip4:94.16.17.240/28 ~all"


----------------------------------------------------------
"iprev" check details:
----------------------------------------------------------
Result:         pass (matches relay.yourmailgateway.de)
ID(s) verified: policy.iprev=188.68.63.98

DNS record(s):
    98.63.68.188.in-addr.arpa. 300 IN PTR relay.yourmailgateway.de.
    relay.yourmailgateway.de. 300 IN A 46.38.247.119
    relay.yourmailgateway.de. 300 IN A 188.68.63.175
    relay.yourmailgateway.de. 300 IN A 188.68.61.106
    relay.yourmailgateway.de. 300 IN A 94.16.17.246
    relay.yourmailgateway.de. 300 IN A 188.68.61.101
    relay.yourmailgateway.de. 300 IN A 188.68.61.104
    relay.yourmailgateway.de. 300 IN A 188.68.63.164
    relay.yourmailgateway.de. 300 IN A 188.68.63.171
    relay.yourmailgateway.de. 300 IN A 188.68.63.97
    relay.yourmailgateway.de. 300 IN A 94.16.17.247
    relay.yourmailgateway.de. 300 IN A 46.38.247.120
    relay.yourmailgateway.de. 300 IN A 94.16.17.245
    relay.yourmailgateway.de. 300 IN A 185.244.192.112
    relay.yourmailgateway.de. 300 IN A 94.16.17.244
    relay.yourmailgateway.de. 300 IN A 194.59.204.23
    relay.yourmailgateway.de. 300 IN A 94.16.17.251
    relay.yourmailgateway.de. 300 IN A 194.59.206.189
    relay.yourmailgateway.de. 300 IN A 185.244.194.184
    relay.yourmailgateway.de. 300 IN A 188.68.63.102
    relay.yourmailgateway.de. 300 IN A 188.68.61.103
    relay.yourmailgateway.de. 300 IN A 188.68.61.107
    relay.yourmailgateway.de. 300 IN A 188.68.61.105
    relay.yourmailgateway.de. 300 IN A 188.68.63.166
    relay.yourmailgateway.de. 300 IN A 94.16.17.248
    relay.yourmailgateway.de. 300 IN A 185.244.192.111
    relay.yourmailgateway.de. 300 IN A 188.68.63.99
    relay.yourmailgateway.de. 300 IN A 188.68.63.96
    relay.yourmailgateway.de. 300 IN A 188.68.63.160
    relay.yourmailgateway.de. 300 IN A 188.68.63.98
    relay.yourmailgateway.de. 300 IN A 188.68.63.100
    relay.yourmailgateway.de. 300 IN A 188.68.63.162
    relay.yourmailgateway.de. 300 IN A 188.68.63.161
    relay.yourmailgateway.de. 300 IN A 188.68.63.163
    relay.yourmailgateway.de. 300 IN A 188.68.63.103
    relay.yourmailgateway.de. 300 IN A 94.16.17.250
    relay.yourmailgateway.de. 300 IN A 188.68.63.165
    relay.yourmailgateway.de. 300 IN A 94.16.17.249
    relay.yourmailgateway.de. 300 IN A 188.68.63.168
    relay.yourmailgateway.de. 300 IN A 46.38.247.117
    relay.yourmailgateway.de. 300 IN A 188.68.63.172
    relay.yourmailgateway.de. 300 IN A 188.68.63.170
    relay.yourmailgateway.de. 300 IN A 188.68.63.174
    relay.yourmailgateway.de. 300 IN A 188.68.61.102
    relay.yourmailgateway.de. 300 IN A 188.68.63.169
    relay.yourmailgateway.de. 300 IN A 188.68.63.173
    relay.yourmailgateway.de. 300 IN A 188.68.61.108
    relay.yourmailgateway.de. 300 IN A 185.244.195.67
    relay.yourmailgateway.de. 300 IN A 188.68.63.167
    relay.yourmailgateway.de. 300 IN A 188.68.63.101
    relay.yourmailgateway.de. 300 IN A 194.59.207.99
    relay.yourmailgateway.de. 300 IN A 194.59.204.53
    relay.yourmailgateway.de. 300 IN A 46.38.247.118


----------------------------------------------------------
DKIM check details:
----------------------------------------------------------
Result:         none (message not signed)
ID(s) verified:

Display More

Was übersehe ich?

Habe ich hier was falsch gemacht?

Das Reseller Hosting basiert auf Plesk, ist dort DKIM überhaupt aktiviert? Als Reseller kann ich es nicht selbst überprüfen.

Muss ich noch folgende Einträger ergänzen?

key1.domainkey	CNAME	key1._domainkey.meinedomain.de
key2.domainkey	CNAME	key2._domainkey.meinedomain.de

Virinum · Feb 14th 2025

Bei deinen DNS-Einträgen key1.domainkey und key2.domainkey fehlen die Unterstriche. Es müsste key1._domainkey und key2._domainkey lauten.

p0se · Feb 14th 2025

Danke! Habe ich doch glatt übersehen....

Ich probiere es mal mit der Änderung.

p0se · Feb 14th 2025

DKIM funktioniert nun, allerdings bekomme ich über https://mecsa.jrc.ec.europa.eu/ keinen guten Score.

pasted-from-clipboard.png

tab · Feb 14th 2025

Der FQDN passt bei deinem Webserver nicht.

Code

~$ nslookup 185.243.11.13
13.11.243.185.in-addr.arpa      name = rw0b0d.webhosting.systems.

mail.irgendwas.tld hat halt mit rw0b0d.webhosting.systems nicht besonders viel zu tun.

DKIM passt offenbar bei Versand vom Webhostingserver auch nicht. Deswegen hast du bei DKIM eben nur 2/3 von 100, also gerundet 67 Punkte. Verschicke nur über den tatsächlichen Namen des Servers, dann wird es wohl schon besser aussehen. Wobei bei DKIM vorhergehende Versuche immer eine Weile mit in der Wertung bleiben.

Falls du nicht mehr über den Webhostingserver sendest, wird sich die Bewertung von DKIM auch irgendwann verbessern, weil der (bzgl. DKIM) nicht korrekt funktionierende aber auch nicht mehr verwendete SMTP irgendwann rausfällt aus der Wertung. Wenn du tatsächlich jetzt schon gar nicht mehr darüber verschickst kannst du das auch jetzt schon ignorieren, nur MECSA weiss das eben nicht. Die haben Antworten von 3 verschiedenen Servern bekommen im Lauf mehrerer Versuche der letzten Zeit und bewerten das dann halt entsprechend anteilig.

p0se · Feb 14th 2025

Sollte ich dann nicht am besten auch den default erstellten MX Record mail.meinedomain.de entfernen?

Und wie gehe ich dann mit Webmail also Roundcube um?
Dort habe ich ja gar nicht die Möglichkeit rw0b0d.webhosting.systems zu verwenden.

ich hab`s gerade mal mit rw0b0d.webhosting.systems versucht, Ergebnis bleibt gleich, weil er nach wie vor den nicht vorhanden FQDN von mail.meinedomain.de bemängelt.

m3um25z · Feb 14th 2025

Der MX-Record kann weg. Den musste ich auch entfernen, damit MTA-STS funktioniert.

Für Webmail sollte der A-Record auf mail. reichen

p0se · Feb 15th 2025

Den MX Record zu entfernen verstehe ich.

Aber wozu der A Record auf mail.?

Dein Beispiel bezieht sich auf das Webhosting bei dem man webmail via https://webmail01.netcup.net/ hat.

In meinem Reseller Hosting läuft Webmail auf der jeweiligen Domain.

Tags