DKIM fuer die Server Domain

[Fezzi]

Hallo Zusammen,

ich stehe mal wieder auf dem Schlauch.... habe gerade zufaellig herausgefunden dass der DKIM Eintrag den ich fuer die Server Domain im DNS Eingetragen habe nicht erkannt wird/greift.

Folgender Eintrag war gesetzt:

name: default._domainkey.server als TXT und dann der entsprechende Key

Der Key fuer die Domain phuket-hosting.com wird gefunden (ist als default._domainkey), der Key fuer die server.phuket-hosting.com alerdings nicht.

Wo ist mein Fehler, ich komme gerade nicht drauf...

Danke schon mal fuer sachdienliche Hinweise

[Fezzi]

Hier noch ein Screenshot

Screenshot from 2025-01-17 17-22-23.png (12.77 KiB) Viewed 4322 times

Ersterer ist fuer die phuket-hosting.com und der Zweite fuer die server.phuket-hosting.com

muss der als default._domainkey gestetz werden oder als

default._domainkey.server oder default._domainkey.server.phuket-hosting.com ?

[Ralph]

name: default._domainkey.server als TXT und dann der entsprechende Key

sollte so passen wenn der Domainname hinter server. beim DNS Anbieter mit angehängt wurde, eventl. mal überprüfen.
setze mal TTL auf 3600 und speichere die DNS Zone nochmal ab
Hier DKIM check auswählen:
https://mxtoolbox.com/SuperTool.aspx
server.phuket-hosting.com:default

[Florian]

Hallo,

der Eintrag muss für default._domainkey.server.phuket-hosting.com gelten.

Wie du das Eintragen musst hängt vom System Deines DNS-Anbieters ab.

Bei Keyhelp wäre es entweder

default._domainkey.server (ohne Punkt = Zonenname wird angehangen)

oder

default._domainkey.server.phuket-hosting.com. (mit abschließendem Punkt)


Momentan findet man aber keinen TXT Record.

Code: Select all

 host -t TXT  default._domainkey.server.phuket-hosting.com
default._domainkey.server.phuket-hosting.com has no TXT record

[Fezzi]

Hallo Florian,

danke fuer den Hinweis, der Punkt am Ende war die Loesung...

default._domainkey.server.phuket-hosting.com. (mit abschließendem Punkt)

[Fezzi]

Ich muss das Thema nochmals aufgreifen....

gerade beschaeftigt mich das, obwohl es keine Probleme gibt... gerade eben habe ich die DKIM Schluessel von drei, voneinander unabhaengigen, Servern verglichen und mit MXToolBox DKIM Lookup gecheckt. Alles gut soweit, aber.....

Was mir jetzt aufgefallen ist,

die DKIM Schluessel des Servers mit Ubuntu 22.04 weisen alle am Anfang des Schluessels

Code: Select all

v=DKIM1; h=sha256; k=rsa; s=email; 

auf.

Die Schluessel der beiden neueren Server mit Debian 12.9 haben nur

Code: Select all

v=DKIM1; k=rsa;

am Anfang des Schluessels stehen.

Alle Server werden zum Mail Versand benutzt und haben auch keine Probleme und bestehen diverse Tests wie z.B. von https://www.learndmarc.com/

Was mich jetzt interessieren wuerde, weshalb weist der Ubuntu Server Schluessel mehr Tags auf als die der Debian Server?

Screenshot from 2025-01-19 11-01-41.png (22.48 KiB) Viewed 4203 times

Kann mir das jemand erklaeren, ich wuerde es gerne verstehen....

[Fezzi]

Hallo Zusammen,

die KI gibt mir folgende Erklaerung:

Die Anzahl der Tags in einem DKIM-Schlüssel hängt von der jeweiligen Konfiguration und den verwendeten Funktionen ab. Einige DKIM-Schlüssel verwenden nur drei Tags, während andere fünf oder mehr haben. Die grundlegenden Unterschiede beruhen darauf, welche zusätzlichen Optionen oder Einstellungen im DKIM-Schlüssel konfiguriert sind.

### Die drei grundlegenden Tags in einem DKIM-Schlüssel:
1. **v** – Version: Gibt die DKIM-Version an, normalerweise `DKIM1`.
2. **k** – Schlüsseltyp: Gibt den verwendeten Algorithmus an, üblicherweise `rsa` (RSA-Verschlüsselung).
3. **p** – Öffentlicher Schlüssel: Der öffentliche Schlüssel, der zur Überprüfung der DKIM-Signatur verwendet wird.

Diese drei Tags sind die minimalen und erforderlichen Tags, um eine funktionierende DKIM-Signatur zu erstellen und zu verifizieren.

### Zusätzliche Tags, die häufig verwendet werden:
4. **s** – Selector: Der Selector ist ein Wert, der es dem Empfänger ermöglicht, den richtigen öffentlichen Schlüssel im DNS zu finden. Wenn eine Domain mehrere DKIM-Schlüssel verwendet, z. B. für verschiedene Subdomains oder zu Rotationszwecken, wird dieser Tag benötigt.
5. **t** – Testflag: Gibt an, ob der DKIM-Schlüssel zu Testzwecken verwendet wird. Zum Beispiel könnte `t=y` gesetzt sein, wenn die Domain den DKIM-Schlüssel noch testet, bevor er in einer Produktionsumgebung verwendet wird.
6. **h** – Hash-Algorithmen: Gibt an, welche Hash-Algorithmen bei der DKIM-Signatur verwendet werden (z. B. `sha256`).

### Warum manche DKIM-Schlüssel nur drei Tags haben:
In einfachen DKIM-Konfigurationen oder bei minimalen Implementierungen, in denen keine besonderen Anforderungen an Selector, Testflag oder Hash-Algorithmen gestellt werden, werden nur die drei grundlegenden Tags (`v`, `k`, `p`) verwendet. Dies ist oft ausreichend, um DKIM zu aktivieren und die grundlegende Authentifizierung zu gewährleisten.

### Warum manche DKIM-Schlüssel fünf oder mehr Tags haben:
Erweiterte Konfigurationen nutzen zusätzliche Tags, um mehr Flexibilität und Kontrolle zu bieten:
- **Selector (s)** wird verwendet, wenn mehrere Schlüssel für eine Domain verwendet werden.
- **Testflag (t)** wird genutzt, wenn der DKIM-Schlüssel noch getestet wird.
- **Hash-Algorithmen (h)** können zusätzliche Sicherheitsfunktionen bieten.

Zusammengefasst: Der Unterschied in der Anzahl der Tags beruht darauf, welche zusätzlichen Funktionen und Konfigurationsoptionen der Domaininhaber für die DKIM-Implementierung benötigt. Bei einfachen Setups reichen die drei grundlegenden Tags aus, während komplexere Setups zusätzliche Tags zur Verwaltung von Schlüsseln und Einstellungen erfordern.

Was mich jetzt jedoch wundert, weshalb ich das bei einem zu 100% identischen Setup (nur das verwendete OS ist unterschiedlich) in zwei verschiedenen Versionen geliefert bekomme?

Denn auch auf dem Server mit Debian habe ich unterschiedliche/mehrere Schluessel fuer eine Domain einmal fuer die Server Domain server.meindomainname.com und einmal fuer die meindomainname.com (welche eine Webseite besitzt und zum versenden von Mails benutzt wird)... jedoch keinen (s) und keinen (h) Tag....

Fragen ueber Fragen...

[Alexander]

Hallo,

dann will ich mal etwas Licht ins Dunkel bringen.

Alle Systeme vor Debian 12 und Ubuntu 24 verwenden den Amavis/Spamassasin/Opendkim/... Stack

Debian 12 und Ubuntu 24 verwenden Rspamd.

Bei den alten Systemen habe ich OpenDkim zur Generierung von DKIM verwendet, mit Rspamd verwende ich Tools die Rspamd mit bringt.
Bei Rspamd hat man sich halt entschieden, in der Standardeinstellung 2 Parameter einzusparen .

[Fezzi]

Danke Alex,

irgendwas in der Richtung habe ich mir gedacht.... jetzt kann ich wieder ruhig schlafen...