Google (gmail) Probleme mit 2048-bit DKIM keys?

[Ralph]

Ich habe überall ein TOP MX ranking, außer bei Gmail landen die Mails im Spam ...
Google Postmaster Tools zeigt ein SPF/DKIM Problem, SPF und DKIM sind 100% Top, habe mit mind. 10 verschiedene Tools getestet alle zeigen PASS.
So wie es aussieht hat Google ein Problem mit 2048-bit DKIM keys und ich denke mal da könnte der Hase begraben sein ...
Was meint Ihr, soll ich die DKIM keys besser als 1024 bit generieren oder besser splitten?

Übersicht mit KI

Postmaster Tools can show issues with DKIM records, particularly with 2048-bit keys, due to character limits in DNS records. If a 2048-bit DKIM key is too long, it needs to be split into multiple text strings within the TXT record.

[Tobi]

1. Wie kommst du darauf, dass dein SPF in Ordnung sei obwohl in Screenshot 2 genau das Gegenteil steht?

2. Wie soll ein Aussenstehender dein Problem beurteilen wenn du keine Domain nennst?

[Ralph]

1. Wie kommst du darauf, dass dein SPF in Ordnung sei obwohl in Screenshot 2 genau das Gegenteil steht?

Das ist der Scrennshot von Google Postmaster Tools - bei ALLEN anderen und bei den vielen anderen Tests wird nichts bemängelt.

2. Wie soll ein Aussenstehender dein Problem beurteilen wenn du keine Domain nennst?

Du kannst 100% darauf vertrauen, ich habe auf mögliche Fehler getestet und weiß nach 15 Jahren wie ein gültiger SPF record aussehen soll.
Die mir bekannten Tools habe ich alle durch und es werden dabei keine Fehler festgestellt oder Verbesserungen vorgeschlagen.
Falls Du aber noch ein sehr striktes Tool für eine Prüfung kennst, dann her damit

[comsystem]

Du kannst 100% darauf vertrauen, ich habe auf mögliche Fehler getestet und weiß nach 15 Jahren wie ein gültiger SPF record aussehen soll.

Irgendwie traurig.

[otto58]

Bei meinen beiden Seiten zeigt der Postmaster aktuell auch bei der "SPF- und DKIM-Authentifizierung" Konform.
D.h. der 2048-bit DKIM key ist bei mir kein Problem. DNS ist Cloudflare und DNSSEC jeweils aktiv.

Ich verfolge den Postmaster nicht, habe auch das Grundgefühl, dass der ab und zu auch spinnt. Gerade geguckt: 2 mal alles grün.

[Ralph]

Du kannst 100% darauf vertrauen, ich habe auf mögliche Fehler getestet und weiß nach 15 Jahren wie ein gültiger SPF record aussehen soll.

Irgendwie traurig.

Nö, auch wenn Gmail mal Mails als Spam deklariert, lässt mich das kalt
Die komplette digitale Infrastruktur ist durch und durch kompromittiert und marode ... das ist eher irgendwie traurig. Dazu kommen noch irrsinnige EU Auflagen ohne Ende und ich denke mir geht der ganze Kram so langsam drüber ... wird bei mir bald Zeit für Massenkündigungen und dann werde ich die Füße hochlegen, mich irgendwo kraulen lassen und das Finale in Ruhe genießen

[Ralph]

Bei meinen beiden Seiten zeigt der Postmaster aktuell auch bei der "SPF- und DKIM-Authentifizierung" Konform.
D.h. der 2048-bit DKIM key ist bei mir kein Problem. DNS ist Cloudflare und DNSSEC jeweils aktiv.
Ich verfolge den Postmaster nicht, habe auch das Grundgefühl, dass der ab und zu auch spinnt. Gerade geguckt: 2 mal alles grün.

Ja, aktuell und zuverlässig sind diese Google Angaben nicht ... ein Mix aus DKIM und SPF Check.
Aber ich sehe gerade der DKIM Key ist ohne quotation marks, den hatte ich via API abgerufen (den ungekürzten leider Gotts) und da Google anscheinend Probleme mit 2048-bit DKIM keys hat, werde ich den morgen mal löschen und neu anlegen.

[otto58]

Da hilft eigentlich auch learndmarc.com. Wenn das Endergebnis steht, auf die "kleinen Lupen" klicken. Da gibt es auch Infos zur Formatierung von SPF, DKIM und DMARC.

[Tobi]

Du kannst 100% darauf vertrauen, ich habe auf mögliche Fehler getestet und weiß nach 15 Jahren wie ein gültiger SPF record aussehen soll.

Dann hast du doch auch kein Problem?

[Ralph]

Dann hast du doch auch kein Problem?

So siehts wohl aus ... die Frage war ja auch ob Google ein Problem mit 2048-bit DKIM keys hat
Aber wie auch immer, ich kann keine Details zum Domainnamen weitergeben, ansonsten würde ich es tun.

[Tobi]

Wenn Google tatsächlich ein Problem mit den 2048 Bit haben sollte würde das Forum von Threads dazu überschwemmt.

Daher würde ich als Außenstehender das Problem auf deiner Seite vermuten.

Was passt denn wenn du den DKIM Key komplett entfernst?

[Ralph]

Wenn Google tatsächlich ein Problem mit den 2048 Bit haben sollte würde das Forum von Threads dazu überschwemmt.
Daher würde ich als Außenstehender das Problem auf deiner Seite vermuten.
Was passt denn wenn du den DKIM Key komplett entfernst?

Gut dann teste ich nachher mal ohne DKIM record!
Ich verwende externe (PDNS) Nameserver (KH intern DNS disabled), der DKIM record ist Original - also ungekürzt, ich kann mich an frühere Probleme bei Google mit 2048-bit keys erinnern, bin mir aber nicht sicher ob dies aktuell noch der Fall ist ... siehe:
https://www.google.com/search?q=Google+ ... +DKIM+keys
und
https://support.google.com/a/answer/11612790?hl=de

[Fezzi]

Eine Erklaerung koennte sein dass die besagte Mail Adresse von mehreren Gmail Empfaengern als Spam Markiert wurde?

User sind ja heutzutage von vielem genervt... ich habe das selbst mal erlebt.. alles richtig und sauber eingestellt aber weil die Empfaenger eines Kunden (keiner weis warum) die Mails auf einmal nicht mehr wollten und in Gmail als Spam markiert haben wars da vorbei.. trotz Postmaster Tools...

[Ralph]

Eine Erklaerung koennte sein dass die besagte Mail Adresse von mehreren Gmail Empfaengern als Spam Markiert wurde?

Könnte sein ... damit sind manche Kunden sehr fleißig

Also an dem DKIM Key scheint es tatsächlich nicht zu liegen, PDNS und die sekundären NS (akamai) unterstützen beide 2048 keys ...
Ich habe auch mal die NS einzeln geprüft auf Unterschiede im dkim output:

Code: Select all

dig default._domainkey.domain.tld TXT  @ns1.myns.tld
dig default._domainkey.domain.tld TXT  @ns2.myns.tld
dig default._domainkey.domain.tld TXT  @ns3.myns.tld

Der auto split (quotation marks) ist bei allen an der gleichen Stelle, die DKIM records sind also identisch und gültig, auch wenn ich beim anlegen einen ungekürzten DKIM string eingebe ist im output der split enthalten.

Es sei denn Google erwartet für jeden Block (split) einen extra TXT record, wie hier im Beispiel:
https://www.linode.com/community/questi ... key-length

[Ralph]

hm, im output von dig und nslookup sind die split quotes enthalten ... allerdings nicht bei den Online Checks via mxtoolbox.com oder uriports.com.
Dort wird der Original Key ungekürzt ausgegeben, und wenn Google damit nichts anfangen kann, könnte es doch daran liegen ... es bleibt also weiterhin spannend