Bei Mailversand durch KeyHelp wird falscher DKIM-Key verwendet

[Virinum]

Ich bin sicher, dass die Ursache des Problems bei KeyHelp liegt
Ja


Server-Betriebssystem + Version
Ubuntu 24.04.1


Eingesetzte Server-Virtualisierung-Technologie
KVM


KeyHelp-Version + Build-Nummer
24.2 (Build 3326)


Problembeschreibung / Fehlermeldungen
Der Hostname von KeyHelp ist server.example.com.
Die Domain example.com ist auch als normale Domain eines Benutzers eingerichtet.

Sowohl für server.example.com als auch für example.com sind die DKIM-Einträge im DNS hinterlegt.

Wenn ich jetzt eine E-Mail über KeyHelp versende (z.B. über Sonstiges -> E-Mail an alle Benutzer), wird in der E-Mail das From auf root@server.example.com gesetzt. Allerdings sieht der DKIM-Header in der E-Mail so aus:

Code: Select all

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=example.com; s=default;
	t=1732271069;
	h=from:from:reply-to:subject:subject:date:date:message-id:message-id:
	 to:to:cc:mime-version:mime-version:content-type:content-type:
	 content-transfer-encoding:content-transfer-encoding;
	 [...]

Hier wird als Domain example.com verwendet. Auch der DKIM-Key scheint der von example.com zu sein.
Ich würde hier aber erwarten, dass server.example.com verwendet wird und auch der DKIM-Key von server.example.com.


Erwartetes Ergebnis
Beim E-Mail-Versand durch KeyHelp sollte der DKIM-Key des Hostnamen verwendet werden.


Tatsächliches Ergebnis
Der DKIM-Key der Apex-Domain wird verwendet.


Schritte zur Reproduktion

1. Hostname der KeyHelp-Instanz auf eine Subdomain setzen, dessen Apex-Domain als normale Domain eines Users eingerichtet ist
2. E-Mail über Sonstiges -> E-Mail an alle Benutzer versenden
3. DKIM-Header in der E-Mail überprüfen

[Alexander]

Es könnte sich hierbei um diesen Rspamd-Bug handeln. Bereits im Juni gemeldet, keine Reaktion... Ggf. möchte da jeder einmal auf Daumen nach oben klicken / einen Kommentar darunter schreiben etc., vielleicht bringt es ja etwas mehr Aufmerksamkeit.

https://github.com/rspamd/rspamd/issues/5024

[Virinum]

Vielen Dank für die schnelle Rückmeldung!

Hab geliket und kommentiert.

[l_fish]

Es sollte sich hierbei um diesen Rspamd-Bug handeln. Bereits im Juni gemeldet, keine Reaktion... Ggf. möchte da jeder einmal auf Daumen nach oben klicken / einen Kommentar darunter schreiben etc., vielleicht bringt es ja etwas mehr Aufmerksamkeit.

https://github.com/rspamd/rspamd/issues/5024

Anscheinend ist das Verhalten, welches Virinum beschreibt auf etwas anderes zurückzuführen. Hier spielt wohl die use_esld Option eine Rolle, siehe https://rspamd.com/doc/modules/dkim_signing.html

The default global configuration (fallback mode) searches for keys at the defined path. This path is constructed using the eSLD normalized domain name of the header from and the default selector defined with selector (dkim). For example, the search path for user@test.example.com would be /var/lib/rspamd/dkim/example.com.dkim.key. If a key is found, the message will be signed.

Code: Select all

# Whether to normalise domains to eSLD
use_esld = true;

Hier müsste mal jemand, der sich auskennt sagen, ob man das einfach auf false stellen kann ohne das etwas kaputt geht

[ShortSnow]

Hi,

use_esld = true; Das bedeutet ja das mail.beispiel.de nach beispiel.de umgeschrieben wird.


Folgende Test habe ich gemacht:

Domain angelegt (beispiel.de) -> DKIM wird richtig gesetzt
Subdomain angelegt (mail.beipiel.de) -> Es wird gar kein DKIM Key angelegt, obwohl Mailversand aktiviert ist

Subdomain als Hauptdomain angelegt (mail.beipiel.de) -> DKIM wird richtig gesetzt und nicht auf Hauptdomain umgeschrieben

Code: Select all

d=mail.beispiel.de header.i=@mail.beispiel.de header.a=rsa-sha256 header.s=shortmail header.b=Y42refwZ

Dann habe ich die Massenmail getestet (nc02.paneldomain.de): DKIM wird richtig gesetzt und nicht auf Hauptdomain umgeschrieben

Code: Select all

d=nc02.paneldomain.de header.i=@nc02.paneldomain.de header.a=rsa-sha256 header.s=default header.b=WR4Puoy9

Als letztes dann Deine Config. Die Panel Hauptdomain noch angelegt (paneldomain.de) und nochmal die Massenmail ausgelöst:

Code: Select all

d=paneldomain.de header.i=@paneldomain.de header.a=rsa-sha256 header.s=nc02 header.b=J+vyF4Wn 

Ab jetzt wird auf die Hauptdomain umgeschrieben und das nc02 abgeschnitten. Vielleicht ist es der Bug, vielleicht nicht. Ich denke das muss sich ein Keyhelp Admin nochmal genauer ansehen. Grundsätzlich scheint alles richtig zu laufen, außer bei der Panel Domain

Verwirrend ist das Subdomains keinen DKIM bekommen, wenn die für Mail aktiviert werden. Vielleicht sollte man Subdomains generell nicht für Mail aktivierbar machen, sondern dann muss die eben als normale Domain angelegt werden.

Was ich aber als Lösung noch Vorschlagen möchte:
Du könntest doch unter Konfiguration -> Control Panel -> Benachrichtigungen -> Allgemeine Einstellungen auf SMTP umstellen und dann funktioniert es einwandfrei, zwar nicht mit der Panel Subdomain, aber sonst mit jeder Domain die Du möchtest.

Gruß Arne

• Getestet auf frischem Debian 12 Image 24.2 (Build 3326)
• Das bei Subdomains kein DKIM erstellt wird ebenfalls getestet auf Debian 11 mit 24.2 (Build 3326)

[Virinum]

Vielen Dank für deine umfangreiche Recherche und die Lösungsvorschläge!

Ich denke ich werde jetzt erstmal die Lösung mit den Benachrichtigungen über einen anderen SMTP-Server nutzen. Die Funktion kannte ich bisher noch gar nicht.

[Alexander]

Es wird gar kein DKIM Key angelegt, obwohl Mailversand aktiviert ist

Guter Fund - ja das ist korrekt. Die Funktion Subdomains als Email-Domain zu nutzen gibt es schon sehr lange, schon vor Einführung von DKIM im KeyHelp. Es ist bislang nur noch nicht aufgefallen, das in dem Fall gar kein DKIM für diese Subdomains existiert.
(Der Grund, warum es nicht automatisch auch funktioniert ist, das für Subdomains ich im KeyHelp ja keine eigene DNS Konfiguration schreibe und die DKIM Generierung wird im Zuge eines DNS Konfigurationsupdates ausgelöst.)

Hmm, ich hab mich noch nicht entschieden, wie ich damit nun weiter umgehe. Ich behalte es auf dem Schirm.

[Tobi]

Eine ganz pragmatische Herangehensweise wäre, dass eine Subdomain beim Aktivieren von E-Mail automatisch in eine Hauptdomain umgewandelt wird.