DKIM ervaringen

[Briolet]

Sinds de invoering van DKIM, in MailServer gebruik is dit.

Het is alleen jammer dat je dit niet onafhankelijk voor inkomend en uitgaand verkeer kunt aanzetten. Als je dus inkomende mail via DKIM wilt controleren, ben je verplicht om ook je uitgaande mail te signeren. Terwijl dit in feite twee onafhankelijk bewerkingen zijn.

Ik kwam vandaag een 2e klant tegen die zijn mail niet kon afleveren en mijn oude mailadres moest gebruiken. Hier een paar log regels van de 3 gevallen. (De eerste bad signature werd wel afgeleverd)

Code: [Selecteer]

Jan 21 10:59:29 GedeeldeData opendkim[18012]: B86D84F6ED: bad signature data
Jan 21 10:59:29 GedeeldeData postfix/cleanup[31606]: B86D84F6ED: milter-reject: END-OF-MESSAGE from sif.is.scarlet.be[193.74.71.28]: 5.7.0 bad DKIM signature data; from=<xxxx@xxxx.be> to=<xxxx@xxxx.nl> proto=ESMTP helo=<sif.is.scarlet.be>

Jan 22 12:28:59 GedeeldeData postfix/cleanup[3748]: 3B8FC54095: milter-reject: END-OF-MESSAGE from mailsec117.isp.belgacom.be[195.238.20.113]: 5.7.0 DKIM signature processing failed; from=<xxx@skynet.be> to=<xxxx@xxxx.nl> proto=ESMTP helo=<mailsec117.isp.belgacom.be>

Feb  1 12:10:43 GedeeldeData opendkim[19653]: 74F7D19547: bad signature data
Feb  1 12:10:43 GedeeldeData postfix/cleanup[9220]: 74F7D19547: milter-reject: END-OF-MESSAGE from st13p19im-asmtp004.me.com[17.164.120.86]: 5.7.0 bad DKIM signature data; from=<xxxx[member=17069]Me[/member].com> to=<xxxx@xxxx.nl> proto=ESMTP helo=<st13p19im-asmtp004.me.com>

Hoe zijn de ervaringen van anderen hiermee? Zit er toch een bug in de DKIM berekening van de nas, of hebben de verzenders hun DKIM niet goed geconfigureerd?

De meeste DKIM checks worden ook niet gelogd, want ik vind alleen de volgende terug als ik op "dkim"zoek, terwijl er heel veel meer mailtjes zijn waar de server in de header aangeeft dat de test geslaagd is.

Code: [Selecteer]

Jan 16 18:25:05 GedeeldeData opendkim[18012]: 7D8E648132: message has signatures from ziggo.nl, mailplus.nl

Misschien omdat Ziggo de enige is die twee DKIM signatures heeft.

[Stephan296]

Ik was toevallig in mail server plus gedoken vanmiddag en kwam ook dkim tegen.
Dus was daar eens over aan lezen wat het precies wel en niet doet.
Ik maak zelf gebruik van een smtp relay server van ziggo.
Dus als ik hem verzend zou ik daar ook last van moeten hebben als ik naar jou mail of lees ik jou verhaal verkeerd?

[Briolet]

DKIM berekend een checksum over de mail met een private sleutel en verstuurt de mail vervolgens.

De ontvanger ziet dat de mail DKIM gesigneerd is en verifieert de checksum met de publieke sleutel uit het domein van de ontvanger.

Als ontvanger heb je dan de garantie dat er geen enkele letter aan de mail veranderd is.

Ziggo, of een andere relay server heeft hier geen enkele vat op, tenzij de relay-server de mail zelf gaat aanpassen. Dan is het juist goed dat DKIM ingrijpt. Wel had ik graag de optie dit soort mail in de spambox te plaatsen i.p.v. direct te bouncen.

[Briolet]

Ik kwam vandaag een 2e klant tegen die zijn mail niet kon afleveren en mijn oude mailadres moest gebruiken.

Ik heb inmiddels contact opgenomen met die klant en hem een mailtje naar mijn G-Mail adres laten sturen. G-Mail geeft in de header ook aan dat er een DKIM-fail is. Toch laat G-Mail hem door. Waarschijnlijk omdat er ook een DMARC policy is die wel een okay geeft. (Voor DMARC is het voldoende dat maar een van  SPF of DKIM okay is).

In elk geval is dit geen bug in de MailServer, hoewel ik liever had dat ik deze mail naar de spambox kon leiden. Dan kan ik manueel zelf een oordeel vellen.

[Briolet]

Ik heb gisteren van nog iemand met een 'me.com' adres een bounce gehad. Dit zijn oude adressen van Apple. (nu krijg je volgens mij een icloud.com adres). Het lijkt erop dat apple sinds recent met DKIM ondertekening van deze mailtjes begonnen is, en er ergens een fout in zit. Omdat G-Mail ze ook als fout bestempeld, gok ik dat de fout bij Apple ligt.

Ik heb ook eens in de handleiding van OpenDKIM gekeken omdat deze mailtjes een "badSignature" in het log schrijven:

On-BadSignature (string)
Selects the action to be taken when a signature fails to validate. Possible values (with abbreviated forms in parentheses): accept (a) accept the message; discard (d) discard the message; quarantine (q) quarantine the message; reject (r) reject the message; tempfail (t) temp-fail the message. The default is accept. Note that the "t" (testing) flag in a DKIM key bypasses this behaviour; a bad signature that references a testing flag will still be delivered, though the added Authentication-Results field will indicate both the failed result and the test mode so that consumers of the message can take appropriate action.

Default is accept, maar als ik in de conf file op de nas kijk, heeft Synology de default naar "reject" veranderd. Voorlopig laat ik dit staan, maar zal het log in de gaten houden voor meer reject  messages, zodat ik de mensen direct zelf terug kan mailen.

[Briolet]

Ook grote banken hebben het nog niet voor elkaar. Ik heb me gisteren bij mijn bank aangemeld voor iets en per omgaande mail kwam een bevestiging. Echter die bevestiging was niet door de bank verstuurd, maar had als afzender wel het adres van mijn bank.
Het spoofen van e-mails van iets gevoeligs als banken kan natuurlijk niet, en dit gaf dan ook een DMARC=fail in de header. (Ik moet mijn bank hierop nog aanspreken)

Het mailtje was wel DKIM gesigneerd door de derde partij, maar voor DMARC moet hij door de bank zelf gesigneerd worden. Ik zag hierover net in het log:

Feb  3 11:54:26 GedeeldeData opendkim[19653]: B5C73670C0: message has signatures from mail133-29.atl131.mandrillapp.com, mandrillapp.com

Dat is inderdaad niet mijn bank. Ik ken deze firma niet eens.