DKIM Richtig einstellen?

queermeet · Post by **queermeet** » Sun 11. May 2025, 12:03

Ich bin sicher, dass die Ursache des Problems bei KeyHelp liegt
ja

Server-Betriebssystem + Version
Debian 12

Eingesetzte Server-Virtualisierung-Technologie
Proxmox

KeyHelp-Version + Build-Nummer
25.0 (Build 3398)

Problembeschreibung / Fehlermeldungen
Probleme mit DKIM

Im DNS-Editor steht als DKIM einfach nur <DKIM_RECORD_VALUE> drin, aber laut Spam Check wird mir gesagt "Die DKIM Signatur ist ungültig", auch bei GMAIL z.B. landen meine Mails im Spam.

Ich habe mehrere Domains, aber nur von einer versende ich aktiv Mails.

Die DKIM Signatur der Nachricht:

v=1;
a=rsa-sha256;
c=relaxed/relaxed;
d=queermeet.de;
s=default;
t=1746956935;
h=from:from:reply-to:subject:subjectdate:message-id:message-id:to:to:cc:mime-version:mime-version:content-type:content-type;
bh=Fd5GQG3RfsnPDmkW26nr9v9P/aWZhIXhks0bth/++FU=;
b=mrgIILs34hycZovxarL3WAvxvburm5lhP8jYaQxYd3IBpl19Xos8kgaWVUPFadv9NDcDuTcBzDP4kYbgSxJQOGYfA3UKLfC8pChwKSbitfpwBpSzyn1J3qDSWooKxWk/O70kKVATs3z6hwq5GwXI1uM4zHJyUfatxd1lAtmssy4DrOrKZdkilXd3uh4UODtNkWxWiJjBbEWD5Wj2DysVlxbItJps2SM7Zo61U3sRImipRKxGldlreH3DQ9lpE24jkTj8gIdhIqlNQiEllivpn0hpVk3BXhi56UfwObxqZAu3O9C1vGXCYHu9Va3QTvi4TLewtRYbTSaTRF/s2EdPww==

Ich bin leider komplett neu in dem Metier, kann mir bitte jemand helfen das DKIM richtig einzustellen?

tab-kh · Post by **tab-kh** » Sun 11. May 2025, 15:17

Offensichtlich ist der Nameserver nicht dein Keyhelp-Server sondern irgendwelche dns51.cloudns.net bis dns54.cloudns.net. Damit ist alles, was im DNS-Editor steht belanglos, abgefragt werden die obigen DNS-Server.

Ich bekomme z.B.

Code: Select all

$ dig default._domainkey.queermeet.de TXT

; <<>> DiG 9.18.33-1~deb12u2-Debian <<>> default._domainkey.queermeet.de TXT
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 51067
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1232
;; QUESTION SECTION:
;default._domainkey.queermeet.de. IN    TXT

;; AUTHORITY SECTION:
queermeet.de.           3221    IN      SOA     dns51.cloudns.net. support.cloudns.net. 2025050812 7200 1800 1209600 3600

Da ist also schlicht kein TXT-Record für DKIM eingetragen. Den musst du eben dort eintragen und dabei auch nicht <DKIM_RECORD_VALUE> verwenden, sondern das, was du dir in den Domain-Einstellungen im DNS-Editor von Keyhelp als DKIM-Eintrag anzeigen lassen kannst. So wie es jetzt ist, verwendet zwar Postfix den privaten Schlüssel um die Nachricht zu signieren, aber der empfangende Server kennt den Public Key nicht, weil er nicht per DNS abgefragt werden kann.

queermeet · Post by **queermeet** » Sun 11. May 2025, 19:58

Ich bin dezent verwirrt, um ehrlich zu sein.

Was genau muss ich jetzt eintragen?

Post by **Tobi** » Sun 11. May 2025, 20:19

Du legst die Subdomain „default._domainkey“
an, Typ TXT, und als Wert trägst du den DKIM Wert ein welcher dir in KeyHelp angezeigt wird.

queermeet · Post by **queermeet** » Sun 11. May 2025, 20:33

also so?

Henning · Post by **Henning** » Sun 11. May 2025, 20:34

Sieht gut aus.

queermeet · Post by **queermeet** » Sun 11. May 2025, 20:49

Hm, wird nicht erkannt, bekomme immer noch die Meldung, es sei kein gültiger Eintrag vorhanden für meine Domain

Post by **Tobi** » Sun 11. May 2025, 21:01

Du musst das bei Ionos eintragen.
Die verwalten deine Domain und Nameserver.

So wie tab-kh weiter oben schrieb

Nachtrag:
Die Anführungszeichen dürfen NICHT eingesetzt werden.

queermeet · Post by **queermeet** » Sun 11. May 2025, 21:10

Nein, mein Server ist nicht bei ionos, wie kommst du darauf?

queermeet · Post by **queermeet** » Sun 11. May 2025, 21:16

Aber hab gerade meinem Anbieter geschrieben, kläre das mit dem.

Danke euch

tab-kh · Post by **tab-kh** » Sun 11. May 2025, 21:18

Sieht gut aus, bewirkt aber effektiv nichts. Man kann das zwar abfragen, wenn man explizit deinen Keyhelp Server befragt, also mit

Code: Select all

dig @91.200.194.45 default._domainkey.queermeet.de TXT

; <<>> DiG 9.18.33-1~deb12u2-Debian <<>> @91.200.194.45 default._domainkey.queermeet.de TXT
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 52312
;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1
;; WARNING: recursion requested but not available

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1232
; COOKIE: 3cbbb74bb63c73e6010000006820f0be9fe84ca61f60497e (good)
;; QUESTION SECTION:
;default._domainkey.queermeet.de. IN    TXT

;; ANSWER SECTION:
default._domainkey.queermeet.de. 86400 IN TXT   "v=DKIM1; k=rsa; " "p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAnwlmg3XrK6fev3U6QzJNq7yWj7ITjf/qyt/mJTBJaiQAZu9a5PEBV6qSOlw1+j/3pFWyvrfXQj3U5fVCSzddIkMmDZFcMDxYb3L6eRKvGDaYHWg/WR7mpak7+3zu0haBwXkNB+s1v0FWbpb2DLfRbzn0z+CSR8ZD0QjMVewur98nYITDoLjrsl5QGcyL7I0ouqcwnHPurlP58CUIx" "qE94G7MoPe6jp9x6eCl9l4RT/1gJI6O5DN0bo29NDYRD1+4vGuPoMJJ195zFJWB0Ejwn/xpNvBVkGTEUJTXT4zOQ3zn8ErJH6WVLJFk/aOvqNWor0v9xVov2f2oloEiyjz1tQIDAQAB"

;; Query time: 8 msec
;; SERVER: 91.200.194.45#53(91.200.194.45) (UDP)
;; WHEN: Sun May 11 20:47:26 CEST 2025
;; MSG SIZE  rcvd: 513

Aber warum sollte irgendein Resolver deinen Keyhelp-Server fragen, wenn der Nameserver der Domain eben nicht dein Keyhelp Server ist, sondern irgendwelche vier Nameserver von ClouDNS. Und diese vier für die Domain eingetragenen Nameserver kennen eben die Einträge nicht, die Keyhelp automatisch oder du manuell lokal auf deinem Keyhelp Server im DNS-Editor machen. Also wird

Code: Select all

$ dig queermeet.de NS

; <<>> DiG 9.18.33-1~deb12u2-Debian <<>> queermeet.de NS
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 752
;; flags: qr rd ra; QUERY: 1, ANSWER: 4, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1232
;; QUESTION SECTION:
;queermeet.de.                  IN      NS

;; ANSWER SECTION:
queermeet.de.           3600    IN      NS      dns52.cloudns.net.
queermeet.de.           3600    IN      NS      dns54.cloudns.net.
queermeet.de.           3600    IN      NS      dns51.cloudns.net.
queermeet.de.           3600    IN      NS      dns53.cloudns.net.

Bei einem dieser vier authoritativen Nameserver wird letztlich nachgefragt, aber dort ist nichts eingetragen. In deinem Keyhelp Server ist alles richtig eingetragen, aber den fragt ja keiner.

Du musst das entweder alles auch dort eintragen, wo es nachgefragt wird, vermutlich also da wo die Domain registriert ist. Wo immer das auch ist. Wo dein Server herkommt ist dabei irrelevant, es geht nur um die Domain.

Oder du musst dort deinen Keyhelp Server als Nameserver für deine Domain eintragen. Dann wird er auch gefragt

. Auch das kann man wohl hinbekommen, obwohl man für de-Domains eigentlich mindestens zwei Nameserver braucht, es gibt hier im Forum auch Threads dazu.

Post by **Tobi** » Sun 11. May 2025, 21:26

queermeet wrote: ↑Sun 11. May 2025, 21:10 Nein, mein Server ist nicht bei ionos, wie kommst du darauf?

Jeder darf sich mal irren

queermeet · Post by **queermeet** » Sun 11. May 2025, 21:31

@Tobi, alles gut, dachte schon, ich hätte was übersehen haha

Danke euch für eure Tipps und Geduld

DKIM Richtig einstellen? [GELÖST]

DKIM Richtig einstellen?

Re: DKIM Richtig einstellen?

Re: DKIM Richtig einstellen?

Re: DKIM Richtig einstellen?

Re: DKIM Richtig einstellen?

Re: DKIM Richtig einstellen?

Re: DKIM Richtig einstellen?

Re: DKIM Richtig einstellen?

Re: DKIM Richtig einstellen?

Re: DKIM Richtig einstellen? [GELÖST]

Re: DKIM Richtig einstellen?

Re: DKIM Richtig einstellen?

Re: DKIM Richtig einstellen?