"Die DKIM Signatur Ihrer Nachricht fehlt" [GELÖST]

[xeppel]

Ich bin sicher, dass die Ursache des Problems bei KeyHelp liegt
Ja.


Server-Betriebssystem + Version
Debian 12.2


Eingesetzte Server-Virtualisierung-Technologie
KVM


KeyHelp-Version + Build-Nummer
23.2.1


Problembeschreibung / Fehlermeldungen
Bei meinem monatlichem Mail-Test mit mail-tester.com erhalte ich jetzt die Warnung "Die DKIM Signatur Ihrer Nachricht fehlt". Vermutlich ist das Problem seit dem großen KH Update mit der Umstellung zu Rspamd. Welche Logs werden zum Lösen des Problems benötigt ?

Erwartetes Ergebnis
Gültige Signatur.

Schritte zur Reproduktion
Der Record im DNS-Editor ist im DNS der Domain noch identisch.

[Alexander]

Hallo,

Welche Logs werden zum Lösen des Problems benötigt ?

Prüfen ob Dkim-Keys für die Domain existieren:

Code: Select all

/var/lib/rspamd/dkim_keyhelp/keys/

Korrekte Konfiguration im Rspam vorhanden?

Code: Select all

rspamadm configdump dkim_signing

Hier sollte sich was zu DKIM finden lassen:

Code: Select all

/var/log/rspamd/rspamd.log

[xeppel]

Hallo,

ja, dort sind die Keys vorhanden, auch die Tabelle ist mit den Domains vollständig. /etc/opendkim/ existiert noch mit den Ordnern, aber ohne Inhalte, das sollte aber nicht stören, oder ?

Die Config ist identisch mit meinem Testsystem, auf welchem DKIM funktioniert :

Code: Select all

*** Section dkim_signing ***
allow_hdrfrom_multiple = false;
allow_username_mismatch = false;
sign_local = true;
key_prefix = "DKIM_KEYS";
sign_networks [
    "127.2.4.7",
]
try_fallback = false;
sign_authenticated = true;
use_esld = true;
selector = "dkim";
symbol = "DKIM_SIGNED";
signing_table = "/var/lib/rspamd/dkim_keyhelp/signing.table";
key_table = "/var/lib/rspamd/dkim_keyhelp/key.table";
use_redis = false;
allow_hdrfrom_mismatch = false;
use_domain = "header";
allow_envfrom_empty = true;

*** End of section dkim_signing ***
root@mail:~# rspamadm configdump dkim_signing
*** Section dkim_signing ***
signing_table = "/var/lib/rspamd/dkim_keyhelp/signing.table";
sign_networks [
    "127.2.4.7",
]
sign_authenticated = true;
use_esld = true;
allow_envfrom_empty = true;
allow_hdrfrom_multiple = false;
key_table = "/var/lib/rspamd/dkim_keyhelp/key.table";
sign_local = true;
use_domain = "header";
use_redis = false;
try_fallback = false;
allow_hdrfrom_mismatch = false;
key_prefix = "DKIM_KEYS";
allow_username_mismatch = false;
symbol = "DKIM_SIGNED";
selector = "dkim";

*** End of section dkim_signing ***

Im Log ist nichts auffälliges, immer wieder das:

Code: Select all

2023-11-07 12:42:41 #1179(rspamd_proxy) <f35c32>; proxy; proxy_milter_finish_handler: finished milter connection
2023-11-07 12:42:50 #1179(rspamd_proxy) <62d766>; milter; rspamd_milter_process_command: got connection from XXXXXXX:35108

[Alexander]

Im Log ist nichts auffälliges, immer wieder das:

Code: Select all

2023-11-07 12:42:41 #1179(rspamd_proxy) <f35c32>; proxy; proxy_milter_finish_handler: finished milter connection
2023-11-07 12:42:50 #1179(rspamd_proxy) <62d766>; milter; rspamd_milter_process_command: got connection from XXXXXXX:35108

Hier sind natürlich die Einträge zum Zeitpunkt des Sendens ausschlaggebend.
Diese Einträge sind nur "Hintergrundrauschen". Wenn eine Nachricht gesendet wird steht dort mehr.

[xeppel]

Hier bei einer Testmail:

Code: Select all

2023-11-07 13:12:01 #1389(rspamd_proxy) <46e6be>; proxy; proxy_accept_socket: accepted milter connection from 127.0.0.1 port 58078
2023-11-07 13:12:01 #1389(rspamd_proxy) <7d8b94>; proxy; proxy_accept_socket: accepted milter connection from 127.0.0.1 port 58084
2023-11-07 13:12:02 #1389(rspamd_proxy) <7d8b94>; milter; rspamd_milter_process_command: got connection from XXXXXXX:7043
2023-11-07 13:12:02 #1392(normal) <51b063>; task; rspamd_worker_body_handler: accepted connection from ::1 port 42104, task ptr: 00007F390CD45498
2023-11-07 13:12:02 #1392(normal) <51b063>; task; rspamd_mime_part_get_cte: detected missing CTE for part as: 7bit
2023-11-07 13:12:02 #1392(normal) <51b063>; task; rspamd_message_parse: loaded message; id: <68a5de00-0ad5-41f4-ae18-96e9a4362cf9@domain.tld>; queue-id: <04263402C4>; size: 5224; checksum: <751415b6278a01b0fa24e6e5e345a19a>
2023-11-07 13:12:02 #1392(normal) <51b063>; task; rspamd_mime_part_detect_language: detected part language: af
2023-11-07 13:12:02 #1392(normal) <51b063>; task; rspamd_mime_part_detect_language: detected part language: af
2023-11-07 13:12:02 #1392(normal) <51b063>; lua; greylist.lua:219: skip greylisting for local networks and/or authorized users
2023-11-07 13:12:02 #1392(normal) <51b063>; task; dkim_symbol_callback: skip DKIM checks for local networks and authorized users
2023-11-07 13:12:02 #1392(normal) <51b063>; lua; spf.lua:186: skip SPF checks for local networks and authorized users
2023-11-07 13:12:02 #1392(normal) <51b063>; lua; dmarc.lua:346: skip DMARC checks as either SPF or DKIM were not checked
2023-11-07 13:12:02 #1392(normal) <51b063>; lua; once_received.lua:102: Skipping once_received for authenticated user or local network
2023-11-07 13:12:02 #1392(normal) <51b063>; task; rspamd_redis_connected: skip obtaining bayes tokens for BAYES_SPAM of classifier bayes: not enough learns 0; 200 required
2023-11-07 13:12:02 #1392(normal) <51b063>; task; rspamd_redis_connected: skip obtaining bayes tokens for BAYES_HAM of classifier bayes: not enough learns 0; 200 required
2023-11-07 13:12:02 #1392(normal) <51b063>; task; rspamd_stat_classifiers_process: skip statistics as SPAM class is missing
2023-11-07 13:12:02 #1392(normal) <51b063>; lua; greylist.lua:335: Score too low - skip greylisting
2023-11-07 13:12:02 #1392(normal) <51b063>; task; rspamd_task_write_log: id: <68a5de00-0ad5-41f4-ae18-96e9a4362cf9@domain.tld>, qid: <04263402C4>, ip: XXXXXXX, user: xxx@domain.tld, from: <xxx@domain.tld>, (default: F (no action): [-2.09/15.00] [SIGNED_PGP(-2.00){},MIME_GOOD(-0.20){multipart/signed;multipart/mixed;multipart/alternative;text/plain;},MIME_BASE64_TEXT(0.10){},XM_UA_NO_VERSION(0.01){},ARC_NA(0.00){},ASN(0.00){asn:3209, ipnet:95.223.0.0/16, country:DE;},FROM_EQ_ENVFROM(0.00){},FROM_HAS_DN(0.00){},HAS_ATTACHMENT(0.00){},MID_RHS_MATCH_FROM(0.00){},MIME_TRACE(0.00){0:+;1:+;2:+;3:+;4:~;5:~;},RCPT_COUNT_ONE(0.00){1;},RCVD_COUNT_ZERO(0.00){0;},REDIRECTOR_URL(0.00){twitter.com;},TO_DN_NONE(0.00){},TO_MATCH_ENVRCPT_ALL(0.00){}]), len: 5224, time: 220.948ms, dns req: 20, digest: <751415b6278a01b0fa24e6e5e345a19a>, rcpts: <test-ko9uud07t@srv1.mail-tester.com>, mime_rcpts: <test-ko9uud07t@srv1.mail-tester.com>
2023-11-07 13:12:02 #1392(normal) <51b063>; task; rspamd_protocol_http_reply: regexp statistics: 0 pcre regexps scanned, 6 regexps matched, 176 regexps total, 59 regexps cached, 0B scanned using pcre, 3.87KiB scanned total

"skip DKIM checks for local networks and authorized users" -> Das steht zumindest auch bei meinem Testsystem.

[xeppel]

Was mir jetzt noch aufgefallen ist, am Tag vor dem Upgrade auf Debian 12 wurde mein Server vom Hoster migriert. Dabei hat sich die IPv6 geändert, was mir jetzt erst aufgefallen ist, ich habe sie jetzt in "interfaces" nachgetragen. Das fiel mir auf, da ich jetzt das Upgrade-Script mit dem Befehl nicht herunterladen konnte, er konnte kein IPv6 auflösen. Das funktioniert jetzt wieder, aber beim Ausführen vom Script kommt nun :

Code: Select all

PHP Fatal error:  The file /root/keyhelp_debian_upgrade_11_to_12.php encoded as type [1/71] cannot be decoded by this version of the ionCube Loader.

Im Forum lese ich zu dem Fehler, dass dann beim Upgrade etwas schief lief. Beim Upgrade selbst ist mir aber nichts aufgefallen, auch nach dem Neustart habe ich das Script damals noch ausgeführt, ohne Probleme. Und Debian 12 ist ja installiert :

Code: Select all

root@keyhelp:~# lsb_release -a
No LSB modules are available.
Distributor ID: Debian
Description:    Debian GNU/Linux 12 (bookworm)
Release:        12
Codename:       bookworm

Code: Select all

root@keyhelp:~# php -v
PHP 8.2.7 (cli) (built: Jun  9 2023 19:37:27) (NTS)
Copyright (c) The PHP Group
Zend Engine v4.2.7, Copyright (c) Zend Technologies
    with the ionCube PHP Loader v13.0.1, Copyright (c) 2002-2023, by ionCube Ltd.
    with SourceGuardian v14.0.0, Copyright (c) 2000-2023, by SourceGuardian Ltd.
    with Zend OPcache v8.2.7, Copyright (c), by Zend Technologies

[Florian]

Hallo,

natürlich kannst du das Update Script für Debian 11 auf 12 von der Keyhelp Seite nicht auf einem Debian 12 starten, denn es ist für eine andere PHP Version.
Das funktioniert nur wenn das Dist Upgrade auch läuft, denn dann Updatet sich das Script selbst

[xeppel]

okay gut, ja das war nur noch so eine Idee, dachte dass generell was schief lief, aber dann ist das ja ok

[xeppel]

Woran könnte das Problem dann aber noch liegen ?

[Florian]

Hallo,

ich habe jetzt mehrmals Dist Upgrades gemacht. Da ist nie ein Problem mit den DKIM Keys aufgetreten.

Du kannst die Zugangsdaten mal per PM schicken, dann schaue ich mal. Garantieren kann ich natürlich nichts.

[xeppel]

Danke für das Angebot, wegen den Zugangsdaten muss ich einmal abklären.

[EurenikZ]

Hallo Florian,

ich scheine das selbe Problem zu haben. Ich würde dir einmal meine Zugangsdaten schicken, könntest du dir das dann bitte mal bei mir anschauen?

[Florian]

Hi,


OK

[Florian]

Hallo,

also das Problem tritt offenbar auf, wenn man als Absender im Mailprogramm Großbuchstaben im Domainteil nutzt, z.B.: test@DomaiN.de anstatt test@domain.de

Rspamd interpretiert das offenbar case sensitive und sieht das als andere Domain, für die es natürlich keinen Key in der Konfiguration gibt. OpenDKIM interessiert das scheinbar nicht.

Bisher habe ich da auch nichts gefunden ob die im Rspamd änderbar ist. Wer Lust hat kann ja auch mal auf Suche gehen oder hier mal eine entsprechende Anfrage stellen:

https://github.com/rspamd/rspamd/discus ... ussions_q=

Danke

[Jolinar]

Wer Lust hat kann ja auch mal auf Suche gehen

Nur so als Idee...kann man das über die header_checks regeln? Ich bin jetzt kein RegEx Guru, aber vllt. gehts ja so:

Code: Select all

check_recipient_access = regexp:/[A-Z]/i