DKIM genereert bad signatures

[herelder]

Het zou moeten werken, maar de signatures willen niet deugen, ze geven een fail bij alle mail-testers, bij gmail, bij xs4all, overal.
De DKIM records in DNS zijn goed, ik heb er een van 1024 bits en een van 2048 bits geprobeerd, maar nope.

Van xs4all kreeg ik op de 2048 key deze mededeling: dkim=fail (fail (OpenSSL error: data too small for key size)), meestal is het bad signature.

Ik kwam ergens iets tegen over manipulatie van berichten door Postfix in verband met regellengte, waardoor er iets misgaat met sleutels, maar dat kan ik niet meer terugvinden.

Edit: op diverse plaatsen teruggevonden, het zou op te lossen zijn door smtp_line_length_limit=250000 in de main.cf te zetten, dus dat heb ik getweakt in de mailserver.conf en de smtp-server geherstart. Helaas blijft het fout gaan. Ik heb gecheckt: na de herstart is de tweak netjes blijven zitten en zijn de DKIM en DMARC gewijzigd naar enabled.

In het forum zag ik dat DKIM wel degelijk geconfigureerd is door sommigen, ben benieuwd of dat bij hun (nog) allemaal goed werkt, en zoja, zijn daar tweaks voor nodig of kan het toch zonder werken.

[Briolet]

Ik kan me niet voorstellen dat hij verkeerde handtekeningen maakt. In dat geval was dat probleem heel vaak gemeld. Ik verwacht een configuratiefout. b.v. dat je regelteruglopen mee in je string opgenomen hebt bij het kopieren van de string.

[herelder]

Om dergelijke fouten uit te sluiten heb ik de dkim gedisabled, vervolgens de bestaande sleutels hard uit de dkim-key directory gesmeten en daarna dkim weer enabled. Voor de zekerheid ook SMTP nog eens gestopt en gestart. Een vers stel keys dus. De publieke sleutel heb ik in de dns gewijzigd, geen regeleinden, ik heb gedubbelcheckt. Het gaat nog niet goed, maar misschien moet ik even een uurtje wachten nu.

[herelder]

O ik zat alleen naar mijn gmail te kijken met testen, maar het gaat bij mijn xs4all account nu goed.

Duimen en over een uur weer proberen.


Overigens, moet je als je Mail server niet zelf de key laat genereren, eigenlijk niet ergens de bijbehorende private key neerzetten die door de DKIM generator is gemaakt?

[Briolet]

Die private key zie je niet via aanmaken met de GUI, maar is er natuurlijk wel.

ter info:
Met webmail van GMail, kun je goed de DKIM controleren. (Handig voor foutmeldingen)

Voor thunderbird bestaat er een DKIM plugin. Die geeft soms ook extra info waarom een DKIM faalt bij een mailtje.

[herelder]

Kijk eens aan. Hij doet het goed op al mijn accounts, en ook mijn thunderbird-plugin (dank voor de tiip!) keurt het goed.

Hoera!


En ik vraag me nog wel af hoe dat zit met die private key - die moet je toch ook installeren als Mail server hem niet zelf maakt lijkt me, en daar is het vermoedelijk mis gegaan? Of niet?