Synology-Forum.nl
Packages => Officiƫle Packages => Mail Server => Topic gestart door: Rob op 16 juli 2020, 07:11:53
-
Heb een Synology NAS > DS118 > Package > Mail server
SPF DKIM DMARC is activated > DKIM Selector = key1
Mijn ISP blok Uitgaande Port 25 oplossing
Dynu SMTP Outbound RELAY Services, inclusief
Private and Public keys > DKIM Selector = key2
Heb mijn mail server draaien, echter
De Google mail header vertel mij, SPF=pass DKIM=neutral DMARC=pass
Google Authentication-Results: dkim=neutral (body hash did not verify)
Mijn vraag:
Hoe voorkom ik het bericht "dkim=neutral (body hash did not verify)"
DNS Setup zie laatste bericht
Vrgr Robert
-
Hallo
Om mijn probleem op te lossen moet ik anders omgaan met de 2 DKIM-sleutels:
01 Mijn mail verstuur ik naar mijn server via IMAP-SSL-poort 993 (beveiligde verbinding).
02 Dynu SMTP Relay Services maak gebruik van de uitgaande poort 587 met TLS (beveiligde verbinding).
03 Dynu DKIM Publieke key, Preselector key2, Encryptie voor de mailoverdracht (beveiligd).
Alle communicatie IN en UIT mijn mailserver zijn m.i. beveiligd.
Vraag mij zelf af, heb ik de DKIM DMARC nog steeds nodig via Synology mailserver?
Ik denk het niet, misschien heb ik het mis, laat me weten?
Volgende stap: Heb DKIM DMARC uitgevinkt van mijn mailserver en heb DKIM Pre selector key1 uit DNS TXT Record verwijderd.
Vanaf hier test ik Gmail opnieuw SPF DKIM DMARC resulteer 3 x PASS.
Zo te zien werkt het.....
Vrgr Robert
-
Bedankt, maar waarom Engels?
Je kunt toch Nederlands schrijven?
-
Verder kan het niet werken als je DKIM uit zet in mailserver. Je mail wordt dan simpelweg niet ondertekend en GMail kan dus ook geen DKIM controleren.
Dat DMARC een pass geeft kan wel omdat SPF klopt. (Dan is DKIM niet nodig)
Als je body tekst geen verify geeft, is hij onderweg aangepast. Dat kan je relay geweest zijn. In dat geval zou ik daar klagen, want het is not-done iemands mail aan te passen. De hele DKIM is ervoor bedacht om dit soort aanpassingen tijdens het doorsturen van mail te detecteren. Mailservers mogen alleen dingen in de headers aanpassen. Vergeet dit. Dat zou een fail moeten opleveren.
Ik denk eerder dat hij geen verify geeft omdat hij de key niet kan vinden.
Terug naar de handleiding en deze nog eens stap-voor-stap nalopen. (Zie ook het sticky topic op dit forum)
-
Birdy
>Bedankt, maar waarom Engels?
>Je kunt toch Nederlands schrijven?
Helemaal gelijk zal hem veranderen, aangepast.
Briolet
>Dat zou een fail moeten opleveren.
Klop inderdaad de header geef aan >fail<
Vrgr Rob
-
Briolet
>Terug naar de handleiding en deze nog eens stap-voor-stap nalopen
Gedaan > DKIM DMARC > SMTP Relay > geactiveerd.
By Dynu > DKIM > uitgezet > blijft over > alleen de setup mail server
Test gedaan met mail@gmail.com en mail@outlook.com
Resultaat: SPF DKIM DMARC worden niet herkend, fail
Heb nu de DNS configuratie terug gezet nu incl. Dynu DKIM Selector key2
Outlook > MX-Toolbox > URL verwijderd
Gmail > MX-Toolbox > URL verwijderd
Vrgr Robert
-
Voor mij is het niet duideliek wie welke ondertekening doet. Je mail bevat twee ondertekeningen. De een op je domeinnaam (die faalt) en een op je domeinnaam met "relay" ervoor. (Die geeft een pass). Mailserver kan maar 1 ondertekening aanmaken. Ik heb geen idee welke mailserver aanmaakt, maar ik gok geen van beiden.
Die met key1 begint met "DKIM-Signature:"
Die met key2 begint met "dkim-signature:"
Mail Server schrijft bij mij: "Dkim-Signature:" Dus weer een andere casing en ik neem toch aan dat dit op elke nas gelijk is.
Zo te zien laat jij alle ondertekeningen doen door je relayserver. Wat het naar mijn idee nodeloos ingewikkeld maakt. Dat is leuk als je eigen mailserver geen DKIM ondersteunt, maar overbodig bij Mail Server. Verder wil je het liefst zo vroeg mogelijk ondertekenen. Als mailserver ondertekend is er het bewijs dat er niet met de mail geknoeid is. Als de relayserver het ondertekend, kan er daar nog met de mail geknoeid zijn, voordat ze het ondertekenen.
-
Een andere reden om de ondertekening te laten doen door mailserver is dat DKIM niet onafhankelijk aan/uit te zetten is voor in- en uitgaande mail. Zet je het uitgaand uit, dan controleert hij ook ingaand niet. (In MailPlus server is dit wel onafhankelijk aan te zetten)
-
Hallo Briolet
key1 is van de Synology NAS mailserver
key2 is van Dynu SMTP Relay services
Heb DKIM bij Dynu (SMTP Relay) uitgezet
Echter dan werkt er niets meer....
Volgende stap: zie onderstaande scherm afbeeldingen
Ref: Google Email Header Analyzer (https://toolbox.googleapps.com/apps/messageheader/)
Outlook.com: SPF=pass DKIM=pass DMARC=pass
Gmail.com: SPF=pass DKIM=pass DMARC=pass
Yahoo.com: SPF=pass DKIM=pass DMARC=success
Vrgr Robert
-
Briolet
>In MailPlus server is dit wel onafhankelijk aan te zetten
Tijd om over te stappen naar de DS720+ (I like)
Vrgr Robert