8
Mailserver mit mehreren Domains - DKIM not alligned
Guten Tag zusammen
Für mehrere Domains (aktuell drei Stück) die ich Betreibe, habe ich ein Hosting-Panel (EHCP-Force) aufgesetzt.
Da dann den Mailserver konfiguriert (vieles wird beim anlegen einer Domain bereits erledigt). Manuell habe ich gewisse TXT Einträge wie DMARC, SPF, TLSRPT, MTA-STS konfiguriert. Ein DKIM-Eintrag wurde für die primäre Domain automatisch angelegt bzw. kann ich beim aktivieren von DKIM eine meiner angelegten Domains auswählen. Für die beiden anderen habe ich einfach mal den DKIM-Eintrag der primären Domain genommen.
Soweit so gut. Funktioniert soweit alles, die Checks bei "mxtoolbox", "easydmarc" usw. wie sie alle heissen, zeigen soweit alles in Ordnung an. Nun habe ich diverse Empfängeradressen getestet, u.a. "outlook.com, "gmail.com", "gmx.net" und noch einige andere. Sende ich eine Mail mit einer Adresse der primären Domain, klappt alles wunderbar, die Mails landen bei allen Empfängern immer schön im Posteingang. Nutze ich jedoch eine Adresse der beiden anderen Domains, kommen die Mails bei den Empfängern zwar an, landen aber teilweise (z.B. bei "outlook.com"), im Spam Ordner. Nun gut, dann hab ich die Header der Mail mal auf "mxtoolbox" mit dem Header-Analyzer Tool prüfen lassen und siehe da, folgende Meldung / Warnung wird mir angezeigt:
Es werden mir die tags angezeigt und beim d-tag stehen zwei Domains drin, einmal meine primäre und einmal einer der anderen hinzugefügten.
Die DKIM Signature sieht folgendermassen aus
Example.com ist in diesem Fall meine primäre Domain, für die der DKIM Eintrag angelegt wurde. Nun weiss ich wirklich nicht mehr weiter und was ich wo tun muss, damit die beiden anderen Domains eine korrekte DKIM Signatur aufweisen.
Freundliche Grüsse
Andy
Für mehrere Domains (aktuell drei Stück) die ich Betreibe, habe ich ein Hosting-Panel (EHCP-Force) aufgesetzt.
Da dann den Mailserver konfiguriert (vieles wird beim anlegen einer Domain bereits erledigt). Manuell habe ich gewisse TXT Einträge wie DMARC, SPF, TLSRPT, MTA-STS konfiguriert. Ein DKIM-Eintrag wurde für die primäre Domain automatisch angelegt bzw. kann ich beim aktivieren von DKIM eine meiner angelegten Domains auswählen. Für die beiden anderen habe ich einfach mal den DKIM-Eintrag der primären Domain genommen.
Soweit so gut. Funktioniert soweit alles, die Checks bei "mxtoolbox", "easydmarc" usw. wie sie alle heissen, zeigen soweit alles in Ordnung an. Nun habe ich diverse Empfängeradressen getestet, u.a. "outlook.com, "gmail.com", "gmx.net" und noch einige andere. Sende ich eine Mail mit einer Adresse der primären Domain, klappt alles wunderbar, die Mails landen bei allen Empfängern immer schön im Posteingang. Nutze ich jedoch eine Adresse der beiden anderen Domains, kommen die Mails bei den Empfängern zwar an, landen aber teilweise (z.B. bei "outlook.com"), im Spam Ordner. Nun gut, dann hab ich die Header der Mail mal auf "mxtoolbox" mit dem Header-Analyzer Tool prüfen lassen und siehe da, folgende Meldung / Warnung wird mir angezeigt:
DKIM Signature Alignment: Signature domain not aligned.Es werden mir die tags angezeigt und beim d-tag stehen zwei Domains drin, einmal meine primäre und einmal einer der anderen hinzugefügten.
d example.com SDID value The SDID claiming responsibility for an introduction of a message into the mail stream.
example.org From Domain The domain used in the From header field.Die DKIM Signature sieht folgendermassen aus
v=1; a=rsa-sha256; c=relaxed/simple; d=example.com; s=mail; .....Example.com ist in diesem Fall meine primäre Domain, für die der DKIM Eintrag angelegt wurde. Nun weiss ich wirklich nicht mehr weiter und was ich wo tun muss, damit die beiden anderen Domains eine korrekte DKIM Signatur aufweisen.
Freundliche Grüsse
Andy
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 4367820631
Url: https://administrator.de/contentid/4367820631
Printed on: April 27, 2024 at 07:04 o'clock
8 Comments
Latest comment
Moin,
Wurde denn auch der öffentliche Schlüssel in allen Domains hinterlegt? Bzw. Kann man glaube ich, für die jeweilige Domain den Key auch einfach auf den Key der primären Domain verweisen…
Wurde denn auch der öffentliche Schlüssel in allen Domains hinterlegt? Bzw. Kann man glaube ich, für die jeweilige Domain den Key auch einfach auf den Key der primären Domain verweisen…
1
Ein DKIM-Eintrag wurde für die primäre Domain automatisch angelegt bzw. kann ich beim aktivieren von DKIM eine meiner angelegten Domains auswählen. Für die beiden anderen habe ich einfach mal den DKIM-Eintrag der primären Domain genommen.
Meinst du das?
Moin,
Jain.
https://mxtoolbox.com/problem/dkim/dkim-signature-alignment
Wenn du einen private Key sowie einen dazugehörigen public-Key hast, musst du für jede DOMAIN einen eigenen TXT-Record anlegen (lassen)
Angenommen, der Public Key lautet (stark vereinfacht)
maindom.org | altdom.de | anotherdom.biz
dann wählst du noch einen (gemeinsamen) Selector, z. B. sel2024
Nun brauchst du ja drei TXTs - für jede Domain einen:
Alternativ legst du den PubKey nur 1x ab und referenzierst mittels CNAME-Record auf den Key:
https://serverfault.com/questions/785151/dkim-with-same-key-but-differen ...
Dann musst du bei Änderungen den Key nur einmal anpassen und nicht an drei Stellen.
Zitat von @endy66:
Ein DKIM-Eintrag wurde für die primäre Domain automatisch angelegt bzw. kann ich beim aktivieren von DKIM eine meiner angelegten Domains auswählen. Für die beiden anderen habe ich einfach mal den DKIM-Eintrag der primären Domain genommen.
Meinst du das?Jain.
https://mxtoolbox.com/problem/dkim/dkim-signature-alignment
Wenn du einen private Key sowie einen dazugehörigen public-Key hast, musst du für jede DOMAIN einen eigenen TXT-Record anlegen (lassen)
Angenommen, der Public Key lautet (stark vereinfacht)
klauwzt498721ziquhf1483t und du hast die Domainsmaindom.org | altdom.de | anotherdom.biz
dann wählst du noch einen (gemeinsamen) Selector, z. B. sel2024
Nun brauchst du ja drei TXTs - für jede Domain einen:
sel2024._domainkey.maindom.orgmit dem Inhaltv=DKIM1; k=rsa; p=klauwzt498721ziquhf1483tsel2024._domainkey.altdom.demit dem Inhaltv=DKIM1; k=rsa; p=klauwzt498721ziquhf1483tsel2024._domainkey.anotherdom.bizmit dem Inhaltv=DKIM1; k=rsa; p=klauwzt498721ziquhf1483t
Alternativ legst du den PubKey nur 1x ab und referenzierst mittels CNAME-Record auf den Key:
https://serverfault.com/questions/785151/dkim-with-same-key-but-differen ...
Dann musst du bei Änderungen den Key nur einmal anpassen und nicht an drei Stellen.
1
Danke für deine Antwort. Genau so habe ich das aktuell konfiguriert. Ich habe den Public Key der "primären Domain kopiert und beim jeweiligen TXT Eintrag für DKIM bei den anderen Domains eingefügt. Selector habe ich ebenfalls überall den selben verwendet, genau wie in deinem Beispiel.
Bei der "primären" Domain wie gesagt keine Probleme, bei den beiden anderen leider schon, jedoch nur bei einigen wenigen Mailprovidern wie z.B. outlook.com.
Bei der "primären" Domain wie gesagt keine Probleme, bei den beiden anderen leider schon, jedoch nur bei einigen wenigen Mailprovidern wie z.B. outlook.com.
Manche DNS Verwaltungsoberflächen benötigen einen Punkt hinter der TLD:
Ansonsten wird es als Subdomain zur Hauptdomain addiert:
sel2024._domainkey.altdom.de.Ansonsten wird es als Subdomain zur Hauptdomain addiert:
sel2024._domainkey.altdom.de.altdom.de
Das ist bei meiner Verwaltungsoberfläche der Fall, den Punkt hinter der TLD habe ich so drin. Die DKIM-Checks fallen komischerweise alle positiv aus, aber wenn ich den Header einer versendeten E-Mail (beim Empfänger) kopiere und diesen dann bei mxtoolbox prüfen lasse, sehe ich erst das oben genannte Problem, also dass im d-Tag halt die Haupt- sowie Sender-Domain drin stehen.
Möchte nochmal nachfragen, ob es noch weitere Tipps oder Hinweise gibt, was ich noch machen könnte? Gerne stelle ich auch mehr Daten / Angaben zur Verfügung, falls benötigt.
Das Problem konnte nun gelöst werden. Je nach Mailanbieter scheint es nicht genug zu sein, einen einzigen DKIM-Key für alle Domains zu nutzen. Mithilfe von opendkim habe ich nun für jede Domain einen Key generieren lassen und die folgende Configs angepasst:
/etc/opendkim/KeyTable
/etc/opendkim/SigningTable
/etc/opendkim/TrustedHosts
Nun ergeben alle Checks einen Pass und alles funktioniert, wie es sollte.
Danke nochmal für eure Hilfe!
/etc/opendkim/KeyTable
/etc/opendkim/SigningTable
/etc/opendkim/TrustedHosts
Nun ergeben alle Checks einen Pass und alles funktioniert, wie es sollte.
Danke nochmal für eure Hilfe!