Mail Station DKIM

[Heeren01]

Weet iemand of er in mail station problemen zijn met DKIM?

Ineens worden mails van afzenders geweigerd waar ik eerder wel mail van ontving.

Bij 1 van de mails ontving de zender onderstaande:

Onderwerp: Mail delivery failed: returning message to sender
Datum: 2018-06-02 15:55
Afzender: Mail Delivery System <Mailer-Daemon@filter01.totaalholding.nl>
Ontvanger: xxx@xxx.nl

This message was created automatically by mail delivery software.

A message that you sent could not be delivered to one or more of its
recipients. This is a permanent error. The following address(es) failed:

 mail@yyy.nl
   host yyy.nl [Ipv6 adres]
   SMTP error from remote mail server after end of data:
   550 5.7.0 bad DKIM signature data

Reporting-MTA: dns; filter01.totaalholding.nl

Action: failed
Final-Recipient: rfc822;mail@yyy.nl
Status: 5.0.0
Remote-MTA: dns; yyy.nl
Diagnostic-Code: smtp; 550 5.7.0 bad DKIM signature data

[Briolet]

Mail Station doet geen DKIM omdat het een mail cliënt is. DKIM wordt principieel door de SMTP server toegevoegd. In dit geval door Mail Server.
(dus nu verplaatst)

Ik denk eerder dat er gebeurt wat er staat: De data is niet ok. Ik heb b.v. een klant met een provider die foute DKIM gebruikt. In dat geval een sleutellengte van 256 byte, terwijl de default setting van OpenDKIM is om sleutels kleiner dan 1000 byte te bouncen. Ten behoeve van hem heb ik de setting ook lager gezet.  (Hoewel elke Mail Server update dit weer ongedaan maakt).

Ik heb ook een klant waarvan de mailtjes wel binnenkomen met de melding:
"Authentication-Results: ⁨dkim=fail reason="key not found in DNS" (0-bit key) "
Als ik dan kijk, gebruiken zij een key met de naam "default", maar er staat geen publieke sleutel in dat keyveld.

Als ik in de mailheaders kijk, zie ik vaak dat klanten hun mail niet goed voor elkaar hebben. (Vaker gaat het om fout geconfigureerde SPF records)

In de OpenDKIM settings kun je ook instellen om een kopie van, via DKIM, bouncende mailtjes naar de mailbeheerder te sturen, zodat hij dit ook kan beoordelen. (Moet alles via een SSH inlog aangepast worden)

Kijk eerst eens in: "/volume1/@maillog/maillog" (En filteren in je logreader op "opendkim" zodat je niet teveel regels ziet)

[Heeren01]

Dank je, dit heeft me al wat verder geholpen. Ik kan wel met SSH overweg, maar hoe stel ik in dat die bouncete mail doorgestuurd wordt naar de systeembeheerder? En hoe stel ik die kortere lengte in?

[Briolet]

In de configuratie files.

/volume1/@appstore/MailServer/etc/opendkim.conf

En ook in de bijbehorende template file.

/volume1/@appstore/MailServer/etc/template/opendkim.template

NB weet wat je veranderd in en template, want anders verpest je de installatie. (Maar voor de zekerheid een kopie van een originele template)

[wimu]

Ik heb exact hetzelfde probleem als Heeren01!

Een leraar van de school van mijn kinderen geeft aan dat hij een deze melding krijgt als hij mij een mailtje stuurt. Zijn collega heeft dit probleem echter niet als hij mij een mailbericht stuurt. Hoe kan dat?

Ben je al wat verder gekomen met het aanpassen van configuratie files? Heeft dat resultaat bij jou?

[Heeren01]

Bij mij treedt het probleem ook op bij 2 scholen. Die gebruiken volgens mij beide  office 365 en mailen via Outlook.com. Ik heb nog geen tijd gehad om de config aan te passen (misschien lukt dat vandaag), maar ik heb voorlopig de e-mail adressen van die scholen maar even op de whitelist gezet. Ik weet alleen niet of dat veel uitmaakt. 1 mailadres kwam nu wel door, maar een andere nog steeds niet.

[wimu]

Toevallig Het Hooghuis?

[Heeren01]

Nee, 2 andere.
Het lijkt erop dat ze Dkim trouwens wel ingesteld hebben (test via internet.nl), maar waarschijnlijk niet goed, want dat is alleen te testen als ze een mail sturen. (Overigens hebben ze het bij hun internet site minder goed geregeld, maar dat is een ander verhaal).

[Briolet]

Je kunt naar het volgende deel uit de config kijken:

Code: [Selecteer]

##  On-...
##
##  Specifies what to do when certain error conditions are encountered.
##
##  See opendkim.conf(5) for more information.

# On-Default
 On-BadSignature reject
# On-DNSError
# On-InternalError
# On-NoSignature
# On-Security
# On-SignatureError

Nu staat hij op reject bij een foute handtekening. Als je er tijdelijk een # voor zet, zal hij ook foute mailjes doorlaten. Je kunt dan alleen in de header zien dat hij fout is.

Of je past het volgende veld aan:

Code: [Selecteer]

##  RedirectFailuresTo address
##  default (none)
##
##  Redirects signed messages to the specified address if none of the
##  signatures present failed to verify.

# RedirectFailuresTo postmaster@example.com

De mail wordt dan wel regulier geblokkeerd maar een kopie gaat naar een specifiek adres.

Voor een uitgebeide handleiding van de config zie: OpenDKIM.conf

[Heeren01]

Dank je, zo kom ik wel een stuk verder denk ik.
(blijft dit staan als je het aanpast of wordt de config gereset bij een updat van mailstation?)

[Briolet]

Ik pas ze altijd op beide plekken aan. Je kunt ook alleen de template aanpassen en dan Mailserver stoppen en starten.

Bij de meeste updates blijft de verandering staan. Maar bij sommige updates wordt ook de config file geupdate. Ik was mijn aanpassingen tot nu toe maar 1x kwijt.

[Heeren01]

Ik log in als su via Putty, kopieer de .conf naar een map waar ik er met notepad bij kom, sla op en kopieer dan de .conf weer terug. Als ik de DiskStation dan opnieuw opstart en de .conf bekijk staan alle waarden weer zoals ze oorspronkelijk stonden. Wat doe ik fout?

[Birdy]

Gokje: /volume1/@appstore/MailServer/etc/template/opendkim.template ook aanpassen (advies Briolet), misschien dat er vandaar uit de .conf weer aangepast word ?

[Heeren01]

Ah, ok, tnx. Was niet zo slim van me... 

[Briolet]

Ik log in als su via Putty, kopieer de .conf naar een map waar ik er met notepad bij kom, sla op en kopieer dan de .conf weer terug.…

Een beetje omslachtig, al dat heen en weer gecopieer. 

Zelf maak ik een hard-link van de config bestanden naar een share. Vervolgens edit ik de file dan op de share.  De link naar het origineel blijft bestaan totdat het origineel een keer bij een update vervangen wordt. Tot dan heb je dus helemaal geen putty nodig voor je aanpassingen.

Hard links kun je alleen maken bij files die al op volume1 staan, maar dat is bij de diverse config bestanden van mailserver het geval.

Code: [Selecteer]

ln /volume1/@maillog/maillog /volume1/Logs/Mail
ln /volume1/@appstore/MailServer/etc/opendkim.conf /volume1/Logs/Mail
ln /volume1/@appstore/MailServer/etc/template/opendkim.template /volume1/Logs/Mail/templates
ln /volume1/@appstore/MailServer/etc/template/opendmarc.template /volume1/Logs/Mail/templates
ln /volume1/@appstore/MailServer/etc/template/dovecot.template /volume1/Logs/Mail/templates
ln /volume1/@appstore/MailServer/etc/template/spamassassin.template /volume1/Logs/Mail/templates
ln /volume1/@appstore/MailServer/etc/template/master.template /volume1/Logs/Mail/templates
ln /volume1/@appstore/MailServer/etc/template/main.template /volume1/Logs/Mail/templates

Waarbij "/Logs/Mail" naar een folder op mijn share met naam "Logs" verwijst.