Mailversand Reject by DKIM [GELÖST]

[supertoasty]

Hallo zusammen,

immer wenn ich eine Mail an eine bestimmte Adresse verschicken möchte bekomme ich eine Undelivered Mail Returned to Sender-Nachricht.
In der Nachricht steht folgendes:
Reporting-MTA: dns; mail.domain1.de
X-Postfix-Queue-ID: D184A460DFF
X-Postfix-Sender: rfc822; emailadresse@domain2.de
Arrival-Date: Tue, 19 May 2020 14:40:32 +0200 (CEST)

Final-Recipient: rfc822; mail@zieldomain.de
Original-Recipient: rfc822;mail@zieldomain.de
Action: failed
Status: 5.0.0
Remote-MTA: dns; zieldomain.de
Diagnostic-Code: smtp; 554 Rejected by DKIM.

domain1.de ist die domain des Hostsystems (eigene Domain) domain2.de wird auf dem System gehostet.
Meine DNS Einträge sind soweit richtig gesetzt, DKIM Eintrag auch. Ich weiß echt nicht mehr weiter wo genau ich noch nachschauen soll.

Mein System:
Debian 10.4
Keyhelp: 20.0
4 CPU
8GB RAM

Kann mir eventuell jemand weiterhelfen? Wenn noch Informationen fehlen, dann gerne melden.

Liebe Grüße

supertoasty | Alex

[Jolinar]

Wenn noch Informationen fehlen, dann gerne melden.

Hmm...Ohne Kenntnis der echten Domains wird das ein Ratespiel.
Magst du die Domain von deinem Mailserver (mail.domain1.de) und die betroffene Domain (domain2.de) verraten, damit man ein paar Checks machen kann? Gerne auch per PN, wenn du diese nicht öffentlich machen möchtest.

[supertoasty]

Wenn noch Informationen fehlen, dann gerne melden.

Hmm...Ohne Kenntnis der echten Domains wird das ein Ratespiel.
Magst du die Domain von deinem Mailserver (mail.domain1.de) und die betroffene Domain (domain2.de) verraten, damit man ein paar Checks machen kann? Gerne auch per PN, wenn du diese nicht öffentlich machen möchtest.

Klar ist eigentlich nichts geheimes
Domain1: guehl-it.de
Domain2: hanse-logistic.de

[Jolinar]

Okay, zwei Sachen sind mir direkt in den DNS-RR aufgefallen:

Code: Select all

;QUESTION
default._domainkey.hanse-logistic.de. IN TXT
;ANSWER
default._domainkey.hanse-logistic.de. 299 IN TXT "v=DKIM1; h=sha256; k=rsa; s=email; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA14ALOGc2oWKkYhWzo3xoGLTPvQi6+i31c3IXVwkEIdKfA8jdu1D4TgX7PtQSO91Ma95xwJYhEwPN3JqjH/2njsHaQnkwI8i13WaIGEZAjbCbD/jjb7zGmsBAn94PAilLysiH21FAIk69+81cMEAyvNSLtpT2KiTHzUO72Vwr2y7ZKg" "l6Ifz1hrPX8O98m0TLdEBN53Ef8F90i3YIkPQvahxJ4ly3VLG9Y6dxWwQZUBKM0UXUwIhyc6944LrLHJjcAGhaO2kgxiJBBm+3Sb9MD8hw8jxzpqWwK6JGsrWRfduBOmMMG9sB0mlFtOJ+DvmiWgPbyQbE9DunczkDDsg3cQIDAQAB"
;AUTHORITY
;ADDITIONAL

Hier sind zwei Anführungszeichen und ein Zeilenumbruch im DKIM-Key. Ändere das mal auf:

Code: Select all

default._domainkey.hanse-logistic.de. 299 IN TXT "v=DKIM1; h=sha256; k=rsa; s=email; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA14ALOGc2oWKkYhWzo3xoGLTPvQi6+i31c3IXVwkEIdKfA8jdu1D4TgX7PtQSO91Ma95xwJYhEwPN3JqjH/2njsHaQnkwI8i13WaIGEZAjbCbD/jjb7zGmsBAn94PAilLysiH21FAIk69+81cMEAyvNSLtpT2KiTHzUO72Vwr2y7ZKgl6Ifz1hrPX8O98m0TLdEBN53Ef8F90i3YIkPQvahxJ4ly3VLG9Y6dxWwQZUBKM0UXUwIhyc6944LrLHJjcAGhaO2kgxiJBBm+3Sb9MD8hw8jxzpqWwK6JGsrWRfduBOmMMG9sB0mlFtOJ+DvmiWgPbyQbE9DunczkDDsg3cQIDAQAB"

Im SPF-RR ist auch ein Anführungszeichen und ein Backslash, die da nicht hingehören:

Code: Select all

;QUESTION
hanse-logistic.de. IN TXT
;ANSWER
hanse-logistic.de. 299 IN TXT "\"v=spf1 a mx ip4:46.4.35.176 ~all"
;AUTHORITY
;ADDITIONAL

Ändere hier mal bitte in:

Code: Select all

hanse-logistic.de. 299 IN TXT "v=spf1 a mx ip4:46.4.35.176 ~all"

Dann bitte nochmal eine Testmail schicken und schauen, ob noch Fehler gemeldet werden.

[supertoasty]

Guten Morgen,

danke erstmal für deine schnelle Hilfe.
Ich habe nun die DNS Einträge so wie von dir beschrieben angepasst und auch extra über Nacht noch gewartet, damit sie sich noch syncronisieren können.
Heute morgen habe ich dann erneut versucht eine Mail zu verschicken, leider wieder mit genau dem gleichen Fehler.

[OlliTheDarkness]

Klar ist eigentlich nichts geheimes
Domain1: guehl-it.de
Domain2: hanse-logistic.de

Domain1: guehl-it.de
Sieht ganz gut aus,

Domain2: hanse-logistic.de
hat keine DMarc (DMARC Quarantine/Reject policy not enabled) aber sonst auch unauffällig.

Ich hab da so Cloudflare in Verdacht das da noch irgendwas krum is.

[supertoasty]

DMarc wurde ergänzt, wie bei der Domain guehl-it.de, leider ohne Erfolg.
Ich kann gerne jemanden die Mail einmal weiterleiten, möchte sie allerdings nicht hier öffentlich ins Forum stellen.

[Jolinar]

Da hier Cloudflare involviert ist und ich bisher weder die Notwendigkeit noch die Zeit hatte, mich mit CF auseinanderzusetzen, habe ich mich mal mit einem befreundeten Admin über dein Problem unterhalten.
Er gab folgende Hinweise:

1. SPF-Record
Der jetzige SPF-Record ist redundant und kann in Verbindung mit Cloudflare problematisch sein. Der Parameter a verweist hier auf Cloudflare-Server (siehe https://www.spf-record.de/spf-lookup/hanse-logistic.de) und könnte Probleme bei der SPF-Prüfung des annehmenden Servers verursachen. Die Parameter mx und ip:x.x.x.x verweisen auf denselben Mailserver, hier ist die Redundanz.
Empfehlung: "v=spf1 mx ~all"

2. DKIM-Record
Der DKIM-Record sieht gut aus.

3. DMARC-Record
Der Parameter p=reject ist in vielen Fällen zu restriktiv.
Empfehlung: "v=DMARC1; p=quarantine;"

Ich hoffe, das hilft dir weiter.

[supertoasty]

@Jolinar & OlliTheDarkness danke für euren super Support.
Ich habe die Änderungen jetzt mal vorgenommen und werde es spätestens heute Abend einmal testen... Die Arbeit ruft

[OlliTheDarkness]

@Jolinar & OlliTheDarkness danke für euren super Support.
Ich habe die Änderungen jetzt mal vorgenommen und werde es spätestens heute Abend einmal testen... Die Arbeit ruft

Immer gern und gutes Gelingen

[Jolinar]

Immer gern und gutes Gelingen

Dito.

[supertoasty]

So ich habe es gerade nochmals versucht... leider ohne Erfolg.
Es kommt immernoch der gleiche Fehler. Ich vermute schon fast, dass es am Mailserver vom Empfänger liegt.

[OlliTheDarkness]

So ich habe es gerade nochmals versucht... leider ohne Erfolg.
Es kommt immernoch der gleiche Fehler. Ich vermute schon fast, dass es am Mailserver vom Empfänger liegt.

Schick mir nochmal ne Mail rüber bitte.

[supertoasty]

Also mit meinem Latein bin ich jetzt echt am Ende...
Ich habe nun alle DNS Einträge wieder zurück zu den Strato DNS Server umgestellt, extra zwei Tage gewartet (ja ich weiß mittlerweile geht die Syncronisierung schneller) und die Mail wird leider immernoch nicht zugestellt.
Hat eventuell jemand heute Nachmittag/Abend Zeit mit mir zusammen da einmal drüber zu schauen? Vielleicht übersehe ich die ganze Zeit irgendetwas

[supertoasty]

Hallo zusammen,

die Domains sind nun zu Strato umgezogen und dort neu konfiguriert worden.
Nun funktioniert auch endlich der Mailversandt und die Mails werden nun auch endlich nicht mehr zurückgewiesen.
Ich habe auch die Vermutung wie OlliTheDarkness, dass es sich um ein Cloudflareproblem handelte.

Der Fall hier kann nun als gelöst markiert werden, danke für den super Support von Euch.

Liebe Grüße und einen schönen Restfeiertag

supertoasty | Alex