Page 1 of 2
"Die DKIM Signatur Ihrer Nachricht fehlt"
Posted: Sat 4. Nov 2023, 13:03
by xeppel
Ich bin sicher, dass die Ursache des Problems bei KeyHelp liegt
Ja.
Server-Betriebssystem + Version
Debian 12.2
Eingesetzte Server-Virtualisierung-Technologie
KVM
KeyHelp-Version + Build-Nummer
23.2.1
Problembeschreibung / Fehlermeldungen
Bei meinem monatlichem Mail-Test mit mail-tester.com erhalte ich jetzt die Warnung "Die DKIM Signatur Ihrer Nachricht fehlt". Vermutlich ist das Problem seit dem großen KH Update mit der Umstellung zu Rspamd. Welche Logs werden zum Lösen des Problems benötigt ?
Erwartetes Ergebnis
Gültige Signatur.
Schritte zur Reproduktion
Der Record im DNS-Editor ist im DNS der Domain noch identisch.
Re: "Die DKIM Signatur Ihrer Nachricht fehlt"
Posted: Tue 7. Nov 2023, 12:01
by Alexander
Hallo,
Welche Logs werden zum Lösen des Problems benötigt ?
Prüfen ob Dkim-Keys für die Domain existieren:
Code: Select all
/var/lib/rspamd/dkim_keyhelp/keys/
Korrekte Konfiguration im Rspam vorhanden?
Hier sollte sich was zu DKIM finden lassen:
Re: "Die DKIM Signatur Ihrer Nachricht fehlt"
Posted: Tue 7. Nov 2023, 12:49
by xeppel
Hallo,
ja, dort sind die Keys vorhanden, auch die Tabelle ist mit den Domains vollständig. /etc/opendkim/ existiert noch mit den Ordnern, aber ohne Inhalte, das sollte aber nicht stören, oder ?
Die Config ist identisch mit meinem Testsystem, auf welchem DKIM funktioniert :
Code: Select all
*** Section dkim_signing ***
allow_hdrfrom_multiple = false;
allow_username_mismatch = false;
sign_local = true;
key_prefix = "DKIM_KEYS";
sign_networks [
"127.2.4.7",
]
try_fallback = false;
sign_authenticated = true;
use_esld = true;
selector = "dkim";
symbol = "DKIM_SIGNED";
signing_table = "/var/lib/rspamd/dkim_keyhelp/signing.table";
key_table = "/var/lib/rspamd/dkim_keyhelp/key.table";
use_redis = false;
allow_hdrfrom_mismatch = false;
use_domain = "header";
allow_envfrom_empty = true;
*** End of section dkim_signing ***
root@mail:~# rspamadm configdump dkim_signing
*** Section dkim_signing ***
signing_table = "/var/lib/rspamd/dkim_keyhelp/signing.table";
sign_networks [
"127.2.4.7",
]
sign_authenticated = true;
use_esld = true;
allow_envfrom_empty = true;
allow_hdrfrom_multiple = false;
key_table = "/var/lib/rspamd/dkim_keyhelp/key.table";
sign_local = true;
use_domain = "header";
use_redis = false;
try_fallback = false;
allow_hdrfrom_mismatch = false;
key_prefix = "DKIM_KEYS";
allow_username_mismatch = false;
symbol = "DKIM_SIGNED";
selector = "dkim";
*** End of section dkim_signing ***
Im Log ist nichts auffälliges, immer wieder das:
Code: Select all
2023-11-07 12:42:41 #1179(rspamd_proxy) <f35c32>; proxy; proxy_milter_finish_handler: finished milter connection
2023-11-07 12:42:50 #1179(rspamd_proxy) <62d766>; milter; rspamd_milter_process_command: got connection from XXXXXXX:35108
Re: "Die DKIM Signatur Ihrer Nachricht fehlt"
Posted: Tue 7. Nov 2023, 12:58
by Alexander
xeppel wrote: ↑Tue 7. Nov 2023, 12:49
Im Log ist nichts auffälliges, immer wieder das:
Code: Select all
2023-11-07 12:42:41 #1179(rspamd_proxy) <f35c32>; proxy; proxy_milter_finish_handler: finished milter connection
2023-11-07 12:42:50 #1179(rspamd_proxy) <62d766>; milter; rspamd_milter_process_command: got connection from XXXXXXX:35108
Hier sind natürlich die Einträge zum Zeitpunkt des Sendens ausschlaggebend.
Diese Einträge sind nur "Hintergrundrauschen". Wenn eine Nachricht gesendet wird steht dort mehr.
Re: "Die DKIM Signatur Ihrer Nachricht fehlt"
Posted: Tue 7. Nov 2023, 13:15
by xeppel
Hier bei einer Testmail:
Code: Select all
2023-11-07 13:12:01 #1389(rspamd_proxy) <46e6be>; proxy; proxy_accept_socket: accepted milter connection from 127.0.0.1 port 58078
2023-11-07 13:12:01 #1389(rspamd_proxy) <7d8b94>; proxy; proxy_accept_socket: accepted milter connection from 127.0.0.1 port 58084
2023-11-07 13:12:02 #1389(rspamd_proxy) <7d8b94>; milter; rspamd_milter_process_command: got connection from XXXXXXX:7043
2023-11-07 13:12:02 #1392(normal) <51b063>; task; rspamd_worker_body_handler: accepted connection from ::1 port 42104, task ptr: 00007F390CD45498
2023-11-07 13:12:02 #1392(normal) <51b063>; task; rspamd_mime_part_get_cte: detected missing CTE for part as: 7bit
2023-11-07 13:12:02 #1392(normal) <51b063>; task; rspamd_message_parse: loaded message; id: <68a5de00-0ad5-41f4-ae18-96e9a4362cf9@domain.tld>; queue-id: <04263402C4>; size: 5224; checksum: <751415b6278a01b0fa24e6e5e345a19a>
2023-11-07 13:12:02 #1392(normal) <51b063>; task; rspamd_mime_part_detect_language: detected part language: af
2023-11-07 13:12:02 #1392(normal) <51b063>; task; rspamd_mime_part_detect_language: detected part language: af
2023-11-07 13:12:02 #1392(normal) <51b063>; lua; greylist.lua:219: skip greylisting for local networks and/or authorized users
2023-11-07 13:12:02 #1392(normal) <51b063>; task; dkim_symbol_callback: skip DKIM checks for local networks and authorized users
2023-11-07 13:12:02 #1392(normal) <51b063>; lua; spf.lua:186: skip SPF checks for local networks and authorized users
2023-11-07 13:12:02 #1392(normal) <51b063>; lua; dmarc.lua:346: skip DMARC checks as either SPF or DKIM were not checked
2023-11-07 13:12:02 #1392(normal) <51b063>; lua; once_received.lua:102: Skipping once_received for authenticated user or local network
2023-11-07 13:12:02 #1392(normal) <51b063>; task; rspamd_redis_connected: skip obtaining bayes tokens for BAYES_SPAM of classifier bayes: not enough learns 0; 200 required
2023-11-07 13:12:02 #1392(normal) <51b063>; task; rspamd_redis_connected: skip obtaining bayes tokens for BAYES_HAM of classifier bayes: not enough learns 0; 200 required
2023-11-07 13:12:02 #1392(normal) <51b063>; task; rspamd_stat_classifiers_process: skip statistics as SPAM class is missing
2023-11-07 13:12:02 #1392(normal) <51b063>; lua; greylist.lua:335: Score too low - skip greylisting
2023-11-07 13:12:02 #1392(normal) <51b063>; task; rspamd_task_write_log: id: <68a5de00-0ad5-41f4-ae18-96e9a4362cf9@domain.tld>, qid: <04263402C4>, ip: XXXXXXX, user: xxx@domain.tld, from: <xxx@domain.tld>, (default: F (no action): [-2.09/15.00] [SIGNED_PGP(-2.00){},MIME_GOOD(-0.20){multipart/signed;multipart/mixed;multipart/alternative;text/plain;},MIME_BASE64_TEXT(0.10){},XM_UA_NO_VERSION(0.01){},ARC_NA(0.00){},ASN(0.00){asn:3209, ipnet:95.223.0.0/16, country:DE;},FROM_EQ_ENVFROM(0.00){},FROM_HAS_DN(0.00){},HAS_ATTACHMENT(0.00){},MID_RHS_MATCH_FROM(0.00){},MIME_TRACE(0.00){0:+;1:+;2:+;3:+;4:~;5:~;},RCPT_COUNT_ONE(0.00){1;},RCVD_COUNT_ZERO(0.00){0;},REDIRECTOR_URL(0.00){twitter.com;},TO_DN_NONE(0.00){},TO_MATCH_ENVRCPT_ALL(0.00){}]), len: 5224, time: 220.948ms, dns req: 20, digest: <751415b6278a01b0fa24e6e5e345a19a>, rcpts: <test-ko9uud07t@srv1.mail-tester.com>, mime_rcpts: <test-ko9uud07t@srv1.mail-tester.com>
2023-11-07 13:12:02 #1392(normal) <51b063>; task; rspamd_protocol_http_reply: regexp statistics: 0 pcre regexps scanned, 6 regexps matched, 176 regexps total, 59 regexps cached, 0B scanned using pcre, 3.87KiB scanned total
"skip DKIM checks for local networks and authorized users" -> Das steht zumindest auch bei meinem Testsystem.
Re: "Die DKIM Signatur Ihrer Nachricht fehlt"
Posted: Tue 7. Nov 2023, 13:51
by xeppel
Was mir jetzt noch aufgefallen ist, am Tag vor dem Upgrade auf Debian 12 wurde mein Server vom Hoster migriert. Dabei hat sich die IPv6 geändert, was mir jetzt erst aufgefallen ist, ich habe sie jetzt in "interfaces" nachgetragen. Das fiel mir auf, da ich jetzt das Upgrade-Script mit dem Befehl nicht herunterladen konnte, er konnte kein IPv6 auflösen. Das funktioniert jetzt wieder, aber beim Ausführen vom Script kommt nun :
Code: Select all
PHP Fatal error: The file /root/keyhelp_debian_upgrade_11_to_12.php encoded as type [1/71] cannot be decoded by this version of the ionCube Loader.
Im Forum lese ich zu dem Fehler, dass dann beim Upgrade etwas schief lief. Beim Upgrade selbst ist mir aber nichts aufgefallen, auch nach dem Neustart habe ich das Script damals noch ausgeführt, ohne Probleme. Und Debian 12 ist ja installiert :
Code: Select all
root@keyhelp:~# lsb_release -a
No LSB modules are available.
Distributor ID: Debian
Description: Debian GNU/Linux 12 (bookworm)
Release: 12
Codename: bookworm
Code: Select all
root@keyhelp:~# php -v
PHP 8.2.7 (cli) (built: Jun 9 2023 19:37:27) (NTS)
Copyright (c) The PHP Group
Zend Engine v4.2.7, Copyright (c) Zend Technologies
with the ionCube PHP Loader v13.0.1, Copyright (c) 2002-2023, by ionCube Ltd.
with SourceGuardian v14.0.0, Copyright (c) 2000-2023, by SourceGuardian Ltd.
with Zend OPcache v8.2.7, Copyright (c), by Zend Technologies
Re: "Die DKIM Signatur Ihrer Nachricht fehlt"
Posted: Tue 7. Nov 2023, 13:55
by Florian
Hallo,
natürlich kannst du das Update Script für Debian 11 auf 12 von der Keyhelp Seite nicht auf einem Debian 12 starten, denn es ist für eine andere PHP Version.
Das funktioniert nur wenn das Dist Upgrade auch läuft, denn dann Updatet sich das Script selbst
Re: "Die DKIM Signatur Ihrer Nachricht fehlt"
Posted: Tue 7. Nov 2023, 14:06
by xeppel
okay gut, ja das war nur noch so eine Idee, dachte dass generell was schief lief, aber dann ist das ja ok
Re: "Die DKIM Signatur Ihrer Nachricht fehlt"
Posted: Tue 7. Nov 2023, 23:18
by xeppel
Woran könnte das Problem dann aber noch liegen ?
Re: "Die DKIM Signatur Ihrer Nachricht fehlt"
Posted: Thu 9. Nov 2023, 12:18
by Florian
Hallo,
ich habe jetzt mehrmals Dist Upgrades gemacht. Da ist nie ein Problem mit den DKIM Keys aufgetreten.
Du kannst die Zugangsdaten mal per PM schicken, dann schaue ich mal. Garantieren kann ich natürlich nichts.
Re: "Die DKIM Signatur Ihrer Nachricht fehlt"
Posted: Thu 9. Nov 2023, 17:03
by xeppel
Danke für das Angebot, wegen den Zugangsdaten muss ich einmal abklären.
Re: "Die DKIM Signatur Ihrer Nachricht fehlt"
Posted: Thu 9. Nov 2023, 17:20
by nurjns
Hallo Florian,
ich scheine das selbe Problem zu haben. Ich würde dir einmal meine Zugangsdaten schicken, könntest du dir das dann bitte mal bei mir anschauen?
Re: "Die DKIM Signatur Ihrer Nachricht fehlt"
Posted: Fri 10. Nov 2023, 10:06
by Florian
Hi,
OK
Re: "Die DKIM Signatur Ihrer Nachricht fehlt"
Posted: Fri 10. Nov 2023, 17:22
by Florian
Hallo,
also das Problem tritt offenbar auf, wenn man als Absender im Mailprogramm Großbuchstaben im Domainteil nutzt, z.B.:
test@DomaiN.de anstatt
test@domain.de
Rspamd interpretiert das offenbar case sensitive und sieht das als andere Domain, für die es natürlich keinen Key in der Konfiguration gibt. OpenDKIM interessiert das scheinbar nicht.
Bisher habe ich da auch nichts gefunden ob die im Rspamd änderbar ist. Wer Lust hat kann ja auch mal auf Suche gehen oder hier mal eine entsprechende Anfrage stellen:
https://github.com/rspamd/rspamd/discus ... ussions_q=
Danke
Re: "Die DKIM Signatur Ihrer Nachricht fehlt"
Posted: Fri 10. Nov 2023, 20:57
by Jolinar
Florian wrote: ↑Fri 10. Nov 2023, 17:22
Wer Lust hat kann ja auch mal auf Suche gehen
Nur so als Idee...kann man das über die header_checks regeln? Ich bin jetzt kein RegEx Guru, aber vllt. gehts ja so:
Code: Select all
check_recipient_access = regexp:/[A-Z]/i