DKIM Signatur bei System E-Mails [GELÖST]

[Blackmoon]

Hallo zusammen,
ist es möglich, dass E-Mails welche das System verschickt (z.B. erfolgreiches Backup, Antiviren Scan, etc.) auch eine DKIM Signatur erhalten?

Leider habe ich keine Möglichkeit gefunden, diese zu aktivieren bzw. ein SMTP Postfach anzugeben, über welches diese E-Mails verschickt werden können.

Viele Grüße

[Jolinar]

Du könntest in der /etc/aliases entsprechende 'Weiterleitungen' festlegen, zB:

Code: Select all

root: info@ihre-domain.de

Danach noch ein newaliases ausführen. Dann sollten die Mails auch eine DKIM Sig bekommen.

[tab-kh]

Im Dashboard des Admin-Users unter Server-Informationen. Unterster Eintrag "DKIM DNS-Eintrag", "Anzeigen" anklicken. Dann wird der DKIM Eintrag angezeigt.

[Blackmoon]

@Jolinar
Habe ich damit nicht das Problem, dass kein SRS stattfindet und damit SPF fehlschlägt?
Abgesehen davon warum sollte durch den Alias die E-Mails automatisch eine DKIM Signatur angehängt werden?

@tab-th
der DKIM Eintrag ist für die Domain, unter welcher die KeyHelp Instanz reagiert, bereits im DNS hinterlegt.

[Tiresias]

Hallo zusammen,
ist es möglich, dass E-Mails welche das System verschickt (z.B. erfolgreiches Backup, Antiviren Scan, etc.) auch eine DKIM Signatur erhalten?

Leider habe ich keine Möglichkeit gefunden, diese zu aktivieren bzw. ein SMTP Postfach anzugeben, über welches diese E-Mails verschickt werden können.

Viele Grüße

Moin!

Konfiguration -> Benachrichtungen (im Kasten "Control Panel"), dann oben rechts Button "Allgemeine Einstellungen".
Da kannst du die Absenderadresse festlegen und auch SMTP-Daten eingeben.
Vielleicht meinst du das?

Gruß,
T

[Blackmoon]

Vielleicht meinst du das?

Ah cool... das habe ich gesucht. Bei Benachrichtigungen war ich noch drin. Hab aber den Button "Allgemeine Einstellungen" nicht gesehen. Danke dir. Wird heute Nacht gleich getestet. Feedback folgt.

[Alexander]

Davon abgesehen sollten von KeyHelp gesendete Emails auch ohne separate SMTP-Einstellungen immer einen DKIM Header haben.
Das ist bei dir nicht der Fall?!

[Blackmoon]

Hallo Alexander,

Das ist bei dir nicht der Fall?!

Nachstehend exemplarisch ein Auszug aus einem Header einer E-Mail, welche ohne SMTP Server verschickt wurde.

Code: Select all

received: from BEZP281MB2455.DEUP281.PROD.OUTLOOK.COM (2603:10a6:b10:51::12)
 by BEZP281MB1893.DEUP281.PROD.OUTLOOK.COM with HTTPS; Tue, 2 Sep 2025
 03:02:09 +0000
Received: from BE1P281CA0257.DEUP281.PROD.OUTLOOK.COM (2603:10a6:b10:86::20)
 by BEZP281MB2455.DEUP281.PROD.OUTLOOK.COM (2603:10a6:b10:51::12) with
 Microsoft SMTP Server (version=TLS1_2,
 cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) id 15.20.9094.16; Tue, 2 Sep
 2025 03:02:08 +0000
Received: from BE1PEPF0000056D.DEUP281.PROD.OUTLOOK.COM
 (2603:10a6:b10:86:cafe::95) by BE1P281CA0257.outlook.office365.com
 (2603:10a6:b10:86::20) with Microsoft SMTP Server (version=TLS1_3,
 cipher=TLS_AES_256_GCM_SHA384) id 15.20.9094.16 via Frontend Transport; Tue,
 2 Sep 2025 03:02:07 +0000
Authentication-Results: spf=pass (sender IP is 2a01:1111:2222:3333::1)
smtp.mailfrom=server03.sub.domain.de; dkim=fail (signature did not verify)
 header.d=server03.sub.domain.de;dmarc=pass action=none
 header.from=server03.sub.domain.de;compauth=pass reason=100

Der Parameter "dkim" steht auf "failed", obwohl ich für den FQDN unter welcher KeyHelp erreichbar ist, ein DKIM Eintrag existiert. Diesen habe ich bei der Fehlersuche von verschiedenen Tools validieren lassen. Alles in Ordnung.

[Alexander]

Kommt Rspamd zum Einsatz?
Was sagt der Log /var/log/rspamd/rspamd.log beim Versenden einer Mail?

[Blackmoon]

Kommt Rspamd zum Einsatz?

Ja.

Was sagt der Log /var/log/rspamd/rspamd.log beim Versenden einer Mail?

Nachstehend der Header einer E-Mail von einer Backup Aufgabe, ohne externer E-Mail-Server.

Code: Select all

2025-09-08 15:35:15 #247203(rspamd_proxy) <119bab>; proxy; proxy_accept_socket: accepted milter connection from 127.0.0.1 port 36306
2025-09-08 15:35:15 #247203(rspamd_proxy) <119bab>; milter; rspamd_milter_process_command: got connection from 127.0.0.1:0
2025-09-08 15:35:15 #247206(normal) <9b9f56>; task; rspamd_worker_body_handler: accepted connection from 127.0.0.1 port 39132, task ptr: 000078FD5BE7A8A8
2025-09-08 15:35:15 #247206(normal) <119bab>; task; rspamd_message_parse: loaded message; id: <8aOFttT3AB7kl5wKuOT5w9C7WwaazZ6xAIvYz8@server03>; queue-id: <0480780A65>; size: 2071; checksum: <3b7b05618788391aabf8c4ba41c411d3>
2025-09-08 15:35:15 #247206(normal) <119bab>; task; rspamd_mime_part_detect_language: detected part language: de
2025-09-08 15:35:15 #247206(normal) <119bab>; task; rspamd_mime_part_detect_language: detected part language: de
2025-09-08 15:35:15 #247206(normal) <119bab>; lua; greylist.lua:242: skip greylisting for local networks and/or authorized users
2025-09-08 15:35:15 #247206(normal) <119bab>; task; dkim_symbol_callback: skip DKIM checks for local networks and authorized users
2025-09-08 15:35:15 #247206(normal) <119bab>; lua; spf.lua:189: skip SPF checks for local networks and authorized users
2025-09-08 15:35:15 #247206(normal) <119bab>; lua; dmarc.lua:360: skip DMARC checks as either SPF or DKIM were not checked
2025-09-08 15:35:15 #247206(normal) <119bab>; lua; once_received.lua:51: Skipping once_received for authenticated user or local network
2025-09-08 15:35:15 #247206(normal) <119bab>; task; bayes_classify: not classified as ham. The ham class needs more training samples. Currently: 0; minimum 200 required
2025-09-08 15:35:15 #247206(normal) <119bab>; lua; greylist.lua:360: Score too low - skip greylisting
2025-09-08 15:35:15 #247206(normal) <119bab>; task; rspamd_task_write_log: id: <8aOFttT3AB7kl5wKuOT5w9C7WwaazZ6xAIvYz8@server03>, qid: <0480780A65>, ip: 127.0.0.1, from: <root@server03.sub.domain.de>, (default: F (no action): [1.61/15.00] [SUBJ_EXCESS_QP(1.20){},MID_RHS_NOT_FQDN(0.50){},MIME_GOOD(-0.10){multipart/alternative;text/plain;},XM_UA_NO_VERSION(0.01){},ARC_NA(0.00){},DKIM_SIGNED(0.00){server03.sub.domain.de:s=default;},FROM_EQ_ENVFROM(0.00){},FROM_HAS_DN(0.00){},FUZZY_RATELIMITED(0.00){rspamd.com;},MIME_TRACE(0.00){0:+;1:+;2:~;},RCPT_COUNT_ONE(0.00){1;},RCVD_COUNT_ZERO(0.00){0;},TO_DN_ALL(0.00){},TO_MATCH_ENVRCPT_ALL(0.00){}]), len: 2071, time: 42.002ms, dns req: 1, digest: <3b7b05618788391aabf8c4ba41c411d3>, rcpts: <user@domain.de>, mime_rcpts: <user@domain.de>
2025-09-08 15:35:15 #247206(normal) <119bab>; task; rspamd_protocol_http_reply: regexp statistics: 0 pcre regexps scanned, 5 regexps matched, 180 regexps total, 62 regexps cached, 0B scanned using pcre, 3.91KiB scanned total
2025-09-08 15:35:15 #247203(rspamd_proxy) <4e0f58>; proxy; proxy_milter_finish_handler: finished milter connection

[Alexander]

Also angeblich hätte er es abgehangen, hmm:

Code: Select all

DKIM_SIGNED(0.00){server03.sub.domain.de:s=default;}

[tab-kh]

Nur um sicherzugehen. Der Servername ist "server03.sub.domain.de"? Also eine Ebene tiefer als "normal", bei mir z.B. "server01.meineserverdomain.de"?

Ist der public key für den Selektor "default" dann im DNS auch unter dem Host default._domainkey.server03.sub in der Zone domain.de eingetragen und nicht vielleicht unter default._domainkey.server03?

Also

Code: Select all

dig default._domainkey.server03.sub.domain.de TXT

sollte den DKIM-Eintrag anzeigen.

Oder mache ich das die letzten paar Jahre falsch, obwohl bei mir DKIM funktioniert?

Bei mir ist der Absender der System E-Mails z.B. "root@server03.meineserverdomain.de"
In der Zone "meineserverdomain.de" habe ich den public key aus dem Dashboard mit Host "default._domainkey.server03" eingetragen. Bisher hat sich noch kein Empfänger darüber beschwert. Steht allerdings im Dashboard anders drin, nämlich nur "default._domainkey".

Mein DKIM-Header in der empfangenen Mail sähe dann so aus

Code: Select all

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=server03.meineserverdomain.de;
	s=default; t=1757305503;
	h=from:from:reply-to:subject:subject:date:date:message-id:message-id:
	 to:to:cc:mime-version:mime-version:content-type:content-type:
	 content-transfer-encoding:content-transfer-encoding;
	 ...

Wäre vielleicht vorteilhaft den Servernamen zu nennen oder Alex da mal reinschauen zu lassen.

[Tobi]

Ich kann es nur immer wieder sagen.
Bei Routing, SPF, DKIM, DNS und was weiß ich noch, kann man nicht helfen wenn der echte Hostname nicht genannt wird.

Und ja, ich weiß auch, dass Blackmoon ein umsichtiger und professioneller User ist. Daher zweifele ich nicht wirklich an seinen Aussagen bezüglich DIG und den DNS Records. Allerdings machen auch Profis mal Fehler.

Deswegen bleibe ich dabei.
Ohne Hostname keine Hilfe.

[Blackmoon]

Nur um sicherzugehen. Der Servername ist "server03.sub.domain.de"? Also eine Ebene tiefer als "normal", bei mir z.B. "server01.meineserverdomain.de"?

Was ist schon normal. Ja, das Schema des FQDN stimmt.

sollte den DKIM-Eintrag anzeigen.

Tut es auch.

Oder mache ich das die letzten paar Jahre falsch, obwohl bei mir DKIM funktioniert?

Nein. Wie kommst du drauf, dass du was falsch machst?

Und ja, ich weiß auch, dass Blackmoon ein umsichtiger und professioneller User ist.

Kenn wir uns?

Also angeblich hätte er es abgehangen, hmm:

Fehler gefunden. In diesem Fall wird der DNS-Service von KeyHelp nicht verwendet. D.h. die DNS-Zonen der Domains werden bei einem DNS Anycast Anbieter gepflegt. Den Wert für den TXT-Eintrag für DKIM habe ich aus dem Dashboard von KeyHelp kopiert. Der Eintrag wurde im Kundenmenü des Anycast Anbieters ohne Fehler angelegt. Allerdings ist ein Check durch einem DKIM Validator fehlgeschlagen. Daraufhin den TXT-Eintrag nochmals angeschaut und den vermeidlichen Fehler korrigiert.

Auf Grund eurer Rückmeldungen habe ich nochmals alles angeschaut. Es hat sich herausgestellt, dass teilweise der initiale und der aktualisierte TXT Eintrag vom DNS Anycast Anbieter ausgeliefert wurde. Das Helferlein ist https://dnschecker.org/. Heute Abend daher einen Purge des Caches ausgeführt. Aktuell wird nur noch der aktualisierte, korrekte Wert für DKIM ausgeliefert. Nun werden auch die System E-Mails mit dkim=passed markiert.

[tab-kh]

Nein. Wie kommst du drauf, dass du was falsch machst?

Nur aus dem einen Grund, dass im Dashboard als DKIM-HOST nur default._domainkey angegeben ist. Habe ich heute zum ersten Mal bewusst gesehen. Gut, wenn man eine separate Zone für die Server-Subdomain oder in deinem Fall -Subsubdomain hat, dann mag das passen. Ansonsten nach meinem Verständnis nicht, bin jetzt aber auch nicht der DKIM-Experte und man kann ja wohl auch DMARC so konfigurieren, dass die DKIM-Signatur der Domain auch für Subdomains gilt, was ich normalerweise nicht will.

Insoweit sicher nicht falsch, es funktioniert ja auch seit Jahren. So verkehrt kann es also nicht sein. So kann ich vermeiden, dass auch Mails von anderen Subdomains mit validem DKIM ankommen. Es wäre aber bei einem halben Dutzend Server aus der selben Domain anders eventuell doch einfacher.

Wobei ich mir da aber nicht sicher bin, denn im DKIM-Header der von den Servern verschickten Systemmails steht der jeweilige FQDN, also der komplette Servername als Domain (d=...) und die im Dashboard angezeigten Domainkeys sind auch auf allen Servern verschieden. Die können also schlecht mit dem default-Selektor alle für die Domain meiner Server gültig sein. Ich kann ja wohl nicht ein halbes Dutzend Domainkeys mit dem selben Selektor im DNS veröffentlichen?!? Naja, machen kann ich das schon, bloss ob das dann auch alles funktioniert... Sucht sich der Empfänger dann den jeweils passenden public Key aus bzw probiert alle? Ich denke eher nicht, macht schon Sinn für jeden Server einen eigenen DKIM-Host zu benutzen.