(Warum) Würden E-Mail-Server aufgrund von DKIM aufhören, DMARC-Berichte zu senden?

(Warum) Würden E-Mail-Server aufgrund von DKIM aufhören, DMARC-Berichte zu senden?

Ich habe einen persönlichen E-Mail-Server, den ich seit Jahren betreibe. Es gab nur sehr selten ein Problem beim Senden von E-Mails und daher habe ich mich nie wirklich mit Dingen wie SPF, DMARC und DKIM beschäftigt. Als ich das System kürzlich aktualisierte, beschloss ich, dies zu tun.

SPF war sehr einfach, da ich eine einzelne, feste IP-Adresse verwende.

DMARC war fast genauso einfach; ich habe es zunächst mit der Richtlinie „keine“ zum Empfangen von Berichten eingerichtet, es ein oder zwei Wochen lang so gelassen und es dann auf „Ablehnen“ umgestellt.

Ich habe jetzt einen DKIM-Signaturfilter für den Mailserver implementiert (Kurier MTA, und nein, es gibt kein Fertigprodukt dafür). Für die komplizierteren Teile habe ichAbonnieren. Dies hat auch ein einfaches Verifizierungstool, das mit ganzen Nachrichten arbeitet, eigene Nachschlagevorgänge durchführt usw., was bedeutet, dass es idiotensicher ist, da es nur eine Möglichkeit gibt, es zu verwenden (wohingegen die Signatur auf verschiedene Arten konfiguriert werden kann und mir möglicherweise Raum lässt, es zu vermasseln). Dies lässt Nachrichten durch, die meiner Meinung nach durchgehen sollten, und schlägt diejenigen durch, die meiner Meinung nach nicht durchgehen sollten, also bin ich einigermaßen zufrieden, dass es funktioniert; ich habe es mit Nachrichten ausgeführt, die vom Server empfangen wurden. Um Probleme zu minimieren, signiere ich derzeit nur den Text und den From-Header.

Allerdings gelangt keine meiner Mails an meine Testkonten - eines ist Gmail und das andere ist von meinem ISP. Und obwohl ich jetzt sowohl rua- als auch ruf-Adressen im DMARC-Eintrag habe, bin ichkeine Berichte für sie erhalten. Vorher liefen beide wie am Schnürchen.

Wenn ich nur den Filter ausschalte(also keine DKIM-Signatur), alles funktioniert wieder. Ich habe überprüft, dass der Server es in allen Fällen tatsächlich versucht; bei den fehlgeschlagenen DKIM-Versuchen schien es Timeouts und geschlossene Verbindungen zu geben, was zu einer endlosen Verzögerung führte – was an sich schon ein bisschen seltsam erscheint, da es impliziert, dass die „abgelehnte“ E-Mail nicht einmal geprüft wird, aber das Entfernen der Signatur genügt, um sie wieder akzeptiert zu bekommen. Ich führe das auf Unklarheiten in der Protokollierung von Courier zurück.

Mir ist klar, dass hier niemand an irgendwelche Gesetze gebunden ist, aber ist das eine normale Richtlinie? Angenommen, die DKIM-Signatur ist falsch, sollte mir der empfangende Server dann nicht einen DMARC-Bericht darüber senden?

Ich stecke also derzeit in der Klemme. Obwohl Dinge wie MXToolbox mir gute Dienste leisten, habe ich keinen kostenlosen Dienst gefunden, der die DKIM-Signatur aktiv testet, indem er E-Mails annimmt, mit Ausnahme eines, der anscheinend das getan hat, was die anderen Server getan haben – er akzeptiert nie die E-Mails, die er testen soll (weiß nicht, ob das ein möglicher Hinweis ist).

Hier sind die relevanten DNS-Einträge von dig:

  • Lichtschutzfaktor:cognitivedissonance.ca. 3600 IN TXT "v=spf1 ip4:138.197.150.177 -all"

  • DKIM:

      aporia._domainkey.cognitivedissonance.ca. 3600 IN TXT "v=DKIM1; k=rsa; h=sha256; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAosptGk+J2mdjjc7RWmcnQ3yBqx1JT/lA0bw4GJCzZ+esa0f8rjHhPiW6NnUr64Kf5h0fPEthQhYGTjjw3jAd/3EE28hGA30+jODxEK7A0+5aeI82fWa/ZZk9FvyIhf+UkkX1B0klYhCRW5r91smJ+rwYrr2B6jOrw0DReHTAZ51NACSWI7ov2mA" "UIh2l8blA8hFFBOBwxlzC+smRsYlZCKZfsSMkyS/XIm2m58QNfw/aCHp5VufSrf/hh7f6AGKTgxHfgs+8RBbYdHEM2LAMT+WYsITC3R0OYfgplzWna6PRB9lx+FFzTtT/8XClYfUJ6rwWwM4koeX0yt9gDr/03QIDAQAB"
    

    Beachten Sie, dass der FQDN des Mailservers lautet aporia.cognitivedissonance.caund ich ihn aporiaaus Mangel an Vorstellungskraft als DKIM-Selektor verwendet habe. Die E-Mail-Domäne ist einfach cognitivedissonance.ca. Sollte ich stattdessen den FQDN verwenden (z. B. aporia._domainkey.aporia.cognitivedissonance.ca)?

  • DMARC:

      _dmarc.cognitivedissonance.ca. 3600 IN  TXT     "v=DMARC1;p=reject;pct=100;rua=mailto:[email protected],mailto:[email protected];ruf=mailto:[email protected],mailto:[email protected]; "
    

    Es gibt dort einige zusätzliche Mailtos für einen DMARC-Validierungsdienst, bei dem ich mich angemeldet habe. Leider testen sie DKIM-Signaturen nicht direkt.

Zum Schluss noch ein Beispiel für eine Signatur:

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/simple;
 d=cognitivedissonance.ca; [email protected]; q=dns/txt;
 s=aporia; t=1650468130; h=from;
 bh=3N81YR+AxHZqpkdMAh4Jti6JpRmUrlzO5bUjUoWdGeg=;
 b=kNzUid2LG8TfHoegur3JzlcktiJT+5A1E2en+IlV/GgDMZWL0Ft/4kE02LGFzb2kTMkav
 c9jLUqd2+NCrLDzVRBxgwif++vDwoljCI1X0wvbcCqhfA3uElcCuhCAtBkl/ZNqLR0H1Gjq
 XXA801KqyVrvottuv0+PmEOvqQ8skTpBvl4Da8JjQ73Zscm3/5Mfk0dGTLlggNgapszsP9z
 nt/1Oi6gzLasX933wIdLZWVex8QNfKr8+MTx6bmpVodaeklR+281u8k1zhCBu5pWrzlavUh
 CbWjUm4j3YbeztpG98r9MZOVKbJZyHaiHWcRa1vEq3Cz8AEnRyRkQhd5WtvA==

Antwort1

Schließlich habe ich einen Online-DKIM-Validator gefunden:https://www.appmaildev.com/en/dkimSie testen den Upload einer vorhandenen E-Mail oder geben Ihnen eine Testadresse zum Senden.

Ich bin mir nicht 100 % sicher, was das ursprüngliche Problem war, denn als ich dies fand, hatte ich bereits ein anderes Problem: Ich verwendete die „Floating IP“-Funktion von Digital Ocean, um meine DNS-Einträge festzulegen. Das Betriebssystem sieht diese Adresse eigentlich nicht, und andere Mailserver meldeten E-Mails als von dieser „tatsächlichen“ IP (die immer noch gültig ist). Nichts wertwenn Sie ein Droplet-Benutzer sind.

Um es klarzustellen: Das kann nicht das ursprüngliche Problem gewesen sein, denn ich habe die Floating IP erst gestern aktiviert, als ich aus Verzweiflung beschloss, den Knoten zu verschieben, um zu sehen, ob etwas aus dem Baum gefallen ist. Aber …

Ich habe keinen kostenlosen Dienst gefunden, der die DKIM-Signatur aktiv testet, indem er E-Mails entgegennimmt, mit Ausnahme eines Dienstes, der anscheinend das Gleiche getan hat wie die anderen Server: Er nimmt nie die E-Mails an, die er testen soll (weiß nicht, ob das ein möglicher Hinweis ist).

Beachten Sie, dass es sich bei diesem Dienst nicht um den im ersten Absatz verlinkten handelte. Wie dem auch sei, dass andere Mailserver im Allgemeinen Verbindungen ablehnten (anstatt Mails zurückzusenden), schreit doch geradezu nach einem „DNS-Problem“. Warum genau dies zu einem Problem wurde, als die neue Installation des Servers bereits seit einem Monat lief, weiß ich immer noch nicht, daher ist dies wirklich nur eine Teilantwort – obwohl es erklärtWarum E-Mail-Server keine DMARC-Berichte mehr senden würden. Nachdem ich alles mit den DNS-Einträgen (A-Einträge für die Domäne und den Aporia-Knoten, Abgleich mit dem SPF usw.) in Ordnung gebracht habe, funktioniert endlich alles wie es soll.

verwandte Informationen