opendkim fail | schlechte RSA-Signatur | Überprüfung fehlgeschlagen ungeschützter Schlüssel

6

Ich habe ein vollständig verwaltbares VPS mit Ubuntu 14.04, das Websites für mehrere Domains hostet. Kürzlich habe ich versucht, DKIM-Signaturen hinzuzufügen, um Spam-Filter zu vermeiden. Ich habe das Ubuntu-Postfix-DKIM-Tutorial mit KeyTable und SigningTable befolgt, wie in einem gut geschriebenen Beitrag auf askubuntu.com erläutert . Jede Domain verfügt über einen eigenen öffentlichen und privaten Schlüssel sowie einen txt-DNS-Zoneneintrag.

Nach dem Testen über [email protected], [email protected] oder sogar über http://dkimvalidator.com/ ist die Antwort ziemlich dieselbe:
DKIM: fehlgeschlagen (Signatur nicht verifiziert)

Die E-Mail ist signiert und die Signatur sieht in Ordnung aus, aber der Überprüfungstest schlägt fehl. Das einzige, was mir in den Sinn kommt, ist, dass die Nachricht nach der Berechnung des Signatur-Hashs irgendwie geändert wird. Meine Frage ist:

Ist es möglich, den Sendevorgang zu debuggen? Es wäre großartig zu überprüfen, was und wann für die DKIM-Signatur berechnet wird . Ich habe versucht, OmitHeaders To, to, TO in der Konfigurationsdatei, aber seltsamerweise erscheint To: value immer noch in h = param.

Ich habe viel gegoogelt, aber immer noch kein Glück. Danke im Voraus.
Ausgabe von dkimvalidator.com:

DKIM Signature

Message contains this DKIM Signature:
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=inhillz.com; s=mail;
    t=1429184641; bh=g3zLYH4xKxcPrHOD18z9YfpQcnk/GaJedfustWU5uGs=;
    h=Date:From:To:Subject;
    b=fccxI1j/+InWdupEY1/hAYCUeSAlTHo3tr/594sOqETs6kEzRlyXWZDLib1b1WqV0
    xN/wr0Io+OGTJOTChp+cJ/H/KrODt1mzGgDA/O/AKWUPEGKODgk9iO03/o6DpLB4bM
    t5GVSKdBQna7sYkQJM2mGtCNgswydgsgytb0J9QA=

Signature Information:
v= Version:         1
a= Algorithm:       rsa-sha256
c= Method:          relaxed/relaxed
d= Domain:          inhillz.com
s= Selector:        mail
q= Protocol:        
bh=                 g3zLYH4xKxcPrHOD18z9YfpQcnk/GaJedfustWU5uGs=
h= Signed Headers:  Date:From:To:Subject
b= Data:            fccxI1j/+InWdupEY1/hAYCUeSAlTHo3tr/594sOqETs6kEzRlyXWZDLib1b1WqV0
    xN/wr0Io+OGTJOTChp+cJ/H/KrODt1mzGgDA/O/AKWUPEGKODgk9iO03/o6DpLB4bM
    t5GVSKdBQna7sYkQJM2mGtCNgswydgsgytb0J9QA=
Public Key DNS Lookup

Building DNS Query for mail._domainkey.inhillz.com
Retrieved this publickey from DNS: v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCpLxuEApOG3ubulSygyEMAVsGHnBUDdYfCHJpGzMguNOCPSpQSdHxUFS+AGKwwyYTLs0X9kP7KUKLhY5TcxJgFPpSl6DOkkjs7Yd/njdg5o/DZe4Ey1hv+XqquEwGh7mqH3049ph2DUA7w3sm6gEgcydYTcyR5ykZ8nQMSIoeRKQIDAQAB
Validating Signature

result = fail
Details: bad RSA signature  

BEARBEITEN
Ich habe versucht, neue Schlüssel zu generieren, habe auch die DNS-Einträge geändert und mit getestet

opendkim-testkey -d inhillz.com -s mail -k mail.private -vvv

Die Ausgabe ist:

opendkim-testkey: using default configfile /etc/opendkim.conf
opendkim-testkey: key loaded from mail.private
opendkim-testkey: checking key 'mail._domainkey.inhillz.com'
opendkim-testkey: key not secure
opendkim-testkey: key OK

Nach Überprüfung über [email protected] immer noch der gleiche Fehler.

Matúš Makač Mačák
quelle
1
Können Sie den privaten Schlüssel und den veröffentlichten DNS-Schlüssel mit opendkim-testkey überprüfen und die Ausgabe freigeben ?
Masegaloeh
Danke für deine Antwort. Ich habe die Ausgabe zu meiner Frage hinzugefügt. Es sieht ok aus. Irgendwelche Ideen?
Matúš Makač Mačák
Ich habe genau dieses Problem! Irgendwelche Ideen?
Maxisme
Ich habe keine Lösung dafür gefunden. Ich hatte keine Zeit, das Problem zu beheben, aber ich werde bald daran arbeiten. Wenn Sie irgendwelche Ideen haben, lassen Sie mich jetzt bitte. Thx
Matúš Makač Mačák
Konnten Sie jemals eine Lösung dafür finden? Ich habe das gleiche Problem.
John Roberts

Antworten:

1

Stellen Sie beim Ändern Ihrer DNS-Einstellungen sicher, dass Sie die Seriennummer des SOA-Eintrags aktualisieren, d. H. 2016092601; Seriennummer, wobei yyyymmddhhvv = Jahr Monat Tag Stunde Version. Wenn sich die Seriennummer nicht ändert, aktualisieren einige DNS ihren Cache nicht.

Stellen Sie außerdem ABSOLUT sicher, dass das dkim mit dem txt-Eintrag in Ihrem DNS-Eintrag übereinstimmt:

dkim._domainKey TXT ("p = sehr langer Textstring")

Mik
quelle