dkimproxy und Key mismatch

[simonszu]

Ahoi,

ich benötige etwas Hilfe mit der Einrichtung von DKIM mittels des dkimproxy.
Ich habe den dkimproxy installiert und meinen MTA konfiguriert, diesen Proxy zu benutzen.
Danach habe ich ihn nach dieser Anleitung konfiguriert: http://dkimproxy.sourceforge.net/usage.html. Den Public Key habe ich bei INWX, meinem Domainregistrar hinterlegt.

Ich habe ihn danach getestet, zuerst mit http://www.appmaildev.com/de/dkim, danach mit den opendkim-tools, namentlich opendkim-testkey. Beide Tools melden, dass mein Server zwar durchaus eine DKIM-Signatur mitschickt, aber diese nicht stimmt.

Ich habe seitdem: Das Keypair neu generiert, und natürlich beim Registrar neu hinterlegt. Kein Erfolg. Danach habe ich mittels der Methode aus der akzeptierten Antwort von http://stackoverflow.com/questions/2745 ... sa-keypair (natürlich mit rsa) das Keypair getestet - es passt zueinander.
Dann habe ich mit

Code: Alles auswählen

dig -t txt default._domainkey.tharan.simonszu.de

geguckt, welcher Key vom DNS ausgeliefert wird, und mit dem public.key auf meinem Dateisystem verglichen. Übereinstimmung ist gegeben.
Zur Erklärung: simonszu.de ist meine Domain, tharan.simonszu.de ist tatsächlich mein Mailserver, der steht so im MX Record für die Domain, und meldet sich auch im SMTP Header mit dem Namen.

Ich habe so langsam keine Idee mehr, wo der Fehler liegen könnte. Ist hier zufällig jemand mit Ahnung anwesend, der anhand der Infos, die ich und das DNS ihm geben, noch eine Idee haben könnte, wo es noch nicht klappt? Vielen Dank.

[HZB]

Ich würde meinen Du erzeugst einen Key für die SUBdomain tharan.simonszu.de und willst aber mails für simonszu.de signieren.

Generiere einen Key für die Domain und probier es dann

[simonszu]

Der SMTP meldet sich aber mit der entsprechenden Subdomain. Ist das relevant?
Das hier sind die entsprechenden Mail-Header:

Code: Alles auswählen

x-sender: mail@simonszu.de
x-receiver: test-48597de0@appmaildev.com
Received: from simonszu.de ([5.189.143.28]) by appmaildev.com with Microsoft SMTPSVC(8.5.9600.16384);
	 Tue, 7 Mar 2017 14:41:45 +0000
Received: by tharan.simonszu.de (OpenSMTPD) with ESMTPSA id 5fb34169 (TLSv1.2:ECDHE-RSA-AES128-GCM-SHA256:128:NO)
	for <test-48597de0@appmaildev.com>;
	Tue, 7 Mar 2017 14:41:43 +0000 (UTC)

tharan.simonszu.de ist auch der String, mit dem sich der MTA meldet, wenn man ihn so in Plaintext anspricht, daher ging ich jetzt davon aus, dass ich auch dafür einen Key anlegen sollte (für den unwahrscheinlichen Fall, dass ich mal mehr als einen MX Server haben sollte )

[HZB]

Nein der meldet sich mit dem Hostnamen bzw. dem Namen den Du eingestellt hast. Hat aber nichts mit der Domain zu tun.
Und der (un)wahrscheinliche Fall ( Backup MX ) das Du mehrere Mailserver hast ist genau der Grund warum der Key für die Domain erzeugt wird.

[simonszu]

Ich habe tatsächlich einen Backup MX, aber nur zum empfangen.
Okay, dann gucke ich noch mal, dass ich die Keys richtig eintrage, und melde mich ggf noch mal hier. Danke schonmal.

[simonszu]

So, ich kam nun dazu, den DNS zu ändern.
Allerdings schien das wirklich nichts gebracht zu haben.

Code: Alles auswählen

opendkim-testkey -d simonszu.de -k private.key -s default

liefert ein "keys do not match".

Und der Test auf http://www.appmaildev.com/de/dkim liefert als Resultat "DKIM-Result: permerror (no key)". Da dieser Validator vorher immer ein "DKIM-Result: key mismatch" geliefert hat, gehe ich ebenfalls davon aus, dass er die DNS propagation bezüglich des Domainkeys mitbekommen hat - aber das aktuelle Setup so auch nicht mag. Ich bin weiterhin ratlos.

[HZB]

Dann poste mal bitte die Config und wenn geht auch Logfile

[simonszu]

Die Config vom dkimproxy sieht so aus:
/etc/dkimproxy/dkimproxy_out.conf

Code: Alles auswählen

# specify what address/port DKIMproxy should listen on
listen    127.0.0.1:10028

# specify what address/port DKIMproxy forwards mail to
relay     127.0.0.1:10029

# specify what domains DKIMproxy can sign for (comma-separated, no spaces)
domain    simonszu.de

# specify what signatures to add
signature dkim(c=relaxed)
signature domainkeys(c=nofws)

# specify location of the private key
keyfile   /etc/dkimproxy/keys/private.key

# specify the selector (i.e. the name of the key record put in DNS)
selector  default

# control how many processes DKIMproxy uses
#  - more information on these options (and others) can be found by
#    running `perldoc Net::Server::PreFork'.
#min_servers 5
#min_spare_servers 2

Das hier ist der Inhalt der mail.log, während des gesamten Prozesses: Mail wird vom GMail-Webfrontend eingereicht, OpenSMTPd nimmt sie entgegen, reicht sie an dkimproxy weiter, der signiert sie, und reicht sie an OpenSMTPd zurück, und der verschickt sie dann:

Code: Alles auswählen

Mar  8 16:04:07 tharan smtpd[16582]: 3164982138db3255 smtp event=connected address=209.85.217.181 host=mail-ua0-f181.google.com
Mar  8 16:04:07 tharan smtpd[16582]: 3164982138db3255 smtp event=starttls ciphers="version=TLSv1.2, cipher=ECDHE-RSA-AES128-GCM-SHA256, bits=128"
Mar  8 16:04:07 tharan smtpd[16582]: 3164982138db3255 smtp event=authentication user=simonszu result=ok
Mar  8 16:04:08 tharan smtpd[16582]: 3164982138db3255 smtp event=message msgid=c3ea7474 from=<mail@simonszu.de> to=<test-629baac0@appmaildev.com> size=1405 ndest=1 proto=ESMTP
Mar  8 16:04:08 tharan smtpd[16582]: 3164982138db3255 smtp event=closed reason=quit
Mar  8 16:04:08 tharan smtpd[16582]: 3164982bc19a4bbb mta event=connecting address=smtp://127.0.0.1:10028 host=net127.rebindtest.com
Mar  8 16:04:08 tharan smtpd[16582]: 3164982bc19a4bbb mta event=connected
Mar  8 16:04:08 tharan dkimproxy.out[24803]: connect from 127.0.0.1
Mar  8 16:04:08 tharan smtpd[16582]: 3164982c99449744 smtp event=connected address=127.0.0.1 host=net127.rebindtest.com
Mar  8 16:04:08 tharan dkimproxy.out[24803]: DKIM signing - signed; message-id=<CAFcEvYF=bW6SsQ4SJEQVNirEE-3FXOJ5N7xF0khevmk9UvauoQ@mail.gmail.com>, signer=<@tharan.simonszu.de>, from=<mail@simonszu.de>
Mar  8 16:04:08 tharan smtpd[16582]: 3164982c99449744 smtp event=message msgid=890bceba from=<mail@simonszu.de> to=<test-629baac0@appmaildev.com> size=1949 ndest=1 proto=ESMTP
Mar  8 16:04:08 tharan smtpd[16582]: 3164982bc19a4bbb mta event=delivery evpid=c3ea7474ab1e1b04 from=<mail@simonszu.de> to=<test-629baac0@appmaildev.com> rcpt=<-> source=127.0.0.1 relay=127.0.0.1 (net127.rebindtest.com) delay=1s result=Ok stat=250 2.0.0: 890bceba Message accepted for delivery
Mar  8 16:04:09 tharan smtpd[16582]: 31649835456e95c4 mta event=connecting address=smtp+tls://13.67.59.48:25 host=mail.appmaildev.com
Mar  8 16:04:09 tharan smtpd[16582]: 31649835456e95c4 mta event=connected
Mar  8 16:04:11 tharan smtpd[16582]: 31649835456e95c4 mta event=delivery evpid=890bcebab5e5be9e from=<mail@simonszu.de> to=<test-629baac0@appmaildev.com> rcpt=<-> source=5.189.143.28 relay=13.67.59.48 (mail.appmaildev.com) delay=3s result=Ok stat=250 2.6.0  <CAFcEvYF=bW6SsQ4SJEQVNirEE-3FXOJ5N7xF0khevmk9UvauoQ@mail.gmail.com> Queued mail for delivery
Mar  8 16:04:18 tharan smtpd[16582]: 3164982c99449744 smtp event=closed reason=quit
Mar  8 16:04:18 tharan smtpd[16582]: 3164982bc19a4bbb mta event=closed reason=quit messages=1

Tatsächlich bin ich etwas skeptisch, dass der dkimproxy irgendwie mit dem host net127.rebindtest.com angesprochen wird - das war auch schon mal was anderes, aber ebenfalls nichts, was ich manuell irgendwo spezifiziert habe.

Eine Anmerkung noch: Ich habe, wie gesagt, Mailgun als Backup-MX zum Empfangen. Um zu verifizieren, dass ich tatsächlich der Domain simonszu.de bin, musste ich für Mailgun einen weiteren TXT-Record anlegen:

Code: Alles auswählen

mx._domainkey IN TXT k=rsa; t=s; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDCBuVStHqwOmbBS6gv09KrHzOeQ9v0Y8t2XGvVxAR6Cb8G6NQyf1C2bj2WuSjvSkEZu+xu817XZVZfM4RWfN83vYIdSV47dG6ctjQsMxvhtLPmS+uhKS6MG9KeN4fdTrXNOZNwp6nYEQciVS03jv6C3a3FQStFCGDsKcpKkz4ePwIDAQAB

. Ist vermutlich irrelevant, weil ja der Inhalt nicht auf DKIM verweist, und schon gar nicht mit dem richtigen Selektor ausgestattet ist, aber ich wollte es mal erwähnen, für den höchst unwahrscheinlichen Fall, dass es tatsächlich doch ein Problem ist.

[HZB]

Code: Alles auswählen

 signer=<@tharan.simonszu.de>, from=<mail@simonszu.de>

Das steht immer noch der Hostname drin. signer=HOST.simonszu.de

[simonszu]

Du siehst die Config des dkimproxys oben. Welche Anweisung sollte denn dafür verantwortlich sein?
Ja, ich habe den Hostnamen so noch in der Config des OpenSMTPd drin stehen - aber das sollte laut manpage nur das SMTPd Banner beeinflussen.
Und auf den Host wird im MX-Record verwiesen. Aber das sollte ja eigentlich egal sein.

Ich habe mal den Hostnamen im OpenSMTPd geändert, um die Behauptung der Manpage zu verifizieren - stimmt soweit.

[HZB]

Ich glaube der key wurde so generiert.
Aber auch das kannst Du leicht testen:

Code: Alles auswählen

opendkim-testkey -d tharan.simonszu.de -k private.key -s default

Was kommt dann ?

[simonszu]

# opendkim-testkey -d tharan.simonszu.de -k private.key -s default
opendkim-testkey: No key

Würd mich auch wundern, wenn der Hostname irgendwo im Key stecken würde, ich hab ihn nämlich einfach nur mit

openssl genrsa -out private.key 1024
openssl rsa -in private.key -pubout -out public.key

erstellt - und zumindest bei meinem OpenSSL liefen beide Befehle völlig interaktionslos durch. Also keine Frage nach nem Common Name oder so.

[HZB]

Ahhhhh

Da fehlt im DNS k=rsa beim default Key. Beim mx Key passt es, dafür fehlt bei dem v=DKIM1

[simonszu]

Ich habs mal eingetragen und warte jetzt auf die Propagation.
Wohlgemerkt, der mx-Key steht da nur so zur Validierung drin, nicht etwa, weil ich auch DKIM über Mailgun betreiben will.

[simonszu]

Tatsächlich - ein Fortschritt ist zu erkennen. opendkim-testkey meckert jetzt nicht mehr. AAaaber: Diese Online-Validatoren, wo man eine Mail hinschicken muss, und die die dann testen beschweren sich jetzt durch die Bank weg, dass sie keinen public key finden können. Vielleicht ist das auch der Grund dafür, dass opendkim-testkey nicht meckert, da es keinen Public Key findet, gegen den der Private Key matchen könnte (oder auch nicht), und jetzt einfach davon ausgeht, dass ich DKIM für die Domain gar nicht konfiguriert hätte.
Wie siehst du das?

[HZB]

Ich habs jetzt mit meinem verglichen. Bei mir steht folgendes:

Code: Alles auswählen

default._domainkey.meinedomain.com. 2994 IN TXT "v=DKIM1\; k=rsa\; " "p=MIGfMA0..."

Bei Dir:

Code: Alles auswählen

default._domainkey.simonszu.de. 3600 IN TXT     "v=DKIM1\; k=rsa\; p=MIGfMA0...."

Probier mal nach k=rsa; ein Hochkomma und vor dem p= noch eines

[simonszu]

Habe ich mal gemacht, ich erhoffe mir aber nicht viel. Laut http://kb.kerio.com/product/kerio-conne ... -1483.html (ganz unten bei BIND) ist das wohl ne Syntax, die es erlaubt, den Key, bzw. allgemein Multiline-TXT-Records auf ein paar mehr Zeilen zu splitten. Ich habe die Domain bei INWX, die nutzen mWn aber PowerDNS. Wenngleich mit im Webfrontend nach dem k=rsa tatsächlich ein Zeilenumbruch angezeigt wird, das scheint aber nur darstellungsbedingt zu sein, wegen des langen Keys. Im Edit-Modus des Records ist nämlich wieder alles in einer Zeile.

[HZB]

Mein Fehler. Nicht das einfache ' Hochkomma sondern " Anführungszeichen.

[simonszu]

Hat leider alles nichts gebracht. Ich habe jetzt noch mal den Record editiert, und peinlich genau drauf geachtet, dass da exakt das drin steht, was in http://dkimproxy.sourceforge.net/usage.html beschrieben steht. Also

Code: Alles auswählen

k=rsa; t=s; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDCBuVStHqwOmbBS6gv09KrHzOeQ9v0Y8t2XGvVxAR6Cb8G6NQyf1C2bj2WuSjvSkEZu+xu817XZVZfM4RWfN83vYIdSV47dG6ctjQsMxvhtLPmS+uhKS6MG9KeN4fdTrXNOZNwp6nYEQciVS03jv6C3a3FQStFCGDsKcpKkz4ePwIDAQAB

Mal gucken, ob's hilft. Denn trotz der Hochkommata bzw. Anführungszeichen meldeten die Tools immer noch, dass kein Key vorhanden wäre.

[HZB]

Nein stimmt leider immer noch nicht:

Code: Alles auswählen

dig -t txt default._domainkey.simonszu.de.

; <<>> DiG 9.9.4-RedHat-9.9.4-38.el7_3.2 <<>> -t txt default._domainkey.simonszu                                                                                                              .de.
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 52071
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;default._domainkey.simonszu.de.        IN      TXT

;; ANSWER SECTION:
default._domainkey.simonszu.de. 3600 IN TXT     "k=rsa\; t=s\; p=MIGfMA0GCSqGSIb                                                                                                              3DQEBAQUAA4GNADCBiQKBgQDCBuVStHqwOmbBS6gv09KrHzOeQ9v0Y8t2XGvVxAR6Cb8G6NQyf1C2bj2                                                                                                              WuSjvSkEZu+xu817XZVZfM4RWfN83vYIdSV47dG6ctjQsMxvhtLPmS+uhKS6MG9KeN4fdTrXNOZNwp6n                                                                                                              YEQciVS03jv6C3a3FQStFCGDsKcpKkz4ePwIDAQAB"

Kein v=DKIM1 und keine Hochkomma.

[simonszu]

Das ist richtig. Das v=DKIM1 und die Hochkommata habe ich rausgenommen, als klar war, dass die DKIM-Validatoren im Internet _mit_ diesem Tag und den Hochkommata bzw. Anführungszeichen den Key nicht gefunden haben. Immerhin steht der Record, so wie er jetzt gerade im DNS steht, genau so in der Dokumentation von dkimproxy.

Ich habe gerade noch mal den Prozess mit dkimvalidator.com geprüft, und der kommt zu dem Schluss:

DKIM Information:

DKIM Signature


Message contains this DKIM Signature:
DKIM-Signature: v=1; a=rsa-sha1; c=simple; d=tharan.simonszu.de; h=
mime-version:frommessage-id:subject:to:content-type; s=
default; bh=ti3MGZZ3obJf8PQdoYdQDG2boeo=; b=ek6Q2yHAJSIxbLUlbTwg
eY5yHRzE1DAN5rDWBOH6iM+QR7w4LGIyJ10COJeKKWB1j+wZ6vnd6pd7UAosWk7A
OupGg/4xXVKFsi1odbURl/Zrflf+KxVCGvpMUh5tEHGi1Gn8rBDC1ZSxp19hN11U
xV1eU6bE7dKaabb73oxcGpI=


Signature Information:
v= Version: 1
a= Algorithm: rsa-sha1
c= Method: simple
d= Domain: tharan.simonszu.de
s= Selector: default
q= Protocol:
bh= ti3MGZZ3obJf8PQdoYdQDG2boeo=
h= Signed Headers: mime-version:frommessage-id:subject:to:content-type
b= Data: ek6Q2yHAJSIxbLUlbTwg
eY5yHRzE1DAN5rDWBOH6iM+QR7w4LGIyJ10COJeKKWB1j+wZ6vnd6pd7UAosWk7A
OupGg/4xXVKFsi1odbURl/Zrflf+KxVCGvpMUh5tEHGi1Gn8rBDC1ZSxp19hN11U
xV1eU6bE7dKaabb73oxcGpI=
Public Key DNS Lookup


Building DNS Query for default._domainkey.tharan.simonszu.de
Retrieved this publickey from DNS:
Validating Signature


result = invalid
Details: public key: not available

Aus irgendeinem Grund schickt mein Server die Mails also immer noch mit falschem Hostnamen raus. Ich habe keine Ahnung, wieso das so ist. Die Config vom dkimproxy kennst du ja schon, hier ist mal die Config von meinem OpenSMTPd

Code: Alles auswählen

# This is the smtpd server system-wide configuration file.
# See smtpd.conf(5) for more information.

# Load keys and certs for TLS
pki simonszu.de key "/etc/ssl/private/mail.key"
pki simonszu.de certificate "/etc/ssl/certs/mail.crt"

### INTERFACES LISTEN DIRECTIVES ###
# Listen on localhost
listen on localhost

# Listen on the port where dkimproxy will hand in dkim-ed mail and tag them as DKIM_OUT
listen on localhost port 10029 tag DKIM_OUT

# Listen on plain SMTP port 25
# Usually used for other MXes submitting their mails to us
listen on eth0 port 25 hostname tharan.simonszu.de tls pki simonszu.de

# Listen on SMTP with TLS port 587
# Usually used by our mailclients to connect with auth
listen on eth0 port 587 hostname tharan.simonszu.de tls-require pki simonszu.de auth mask-source

### VIRTUAL STUFF ###
# If you edit the file, you have to run "smtpctl update table aliases"
table valiases file:/etc/mail/valiases
table vdomains file:/etc/mail/vdomains
table aliases file:/etc/aliases

### RULES FOR ACCEPTING MAILS ###
# This catches from external submitted mails to any of our <valiases> and <vdomains> which are routed as these files say
# deliver to mbox is obsolete since the catchall in valiases forwards them to gmail but the syntax requires it anyways
accept from any for domain <vdomains> virtual <valiases> deliver to mbox

# This catches all mails (local generated or submitted via TLS-auth) wich are addressed to any of our local <valiases>
# They are delivered like the rules in <valiases> say
accept from local for local virtual <valiases> deliver to mbox

# This catches all local generated mails (or submitted via TLS-auth) which are not addressed to any of <valiases>
# They are relayed via DNS resolving and MX
# The from local is default and can be omitted but it is here for clearness
# Mails coming from dkimproxy are tagged DKIM_OUT. Only accept these
accept tagged DKIM_OUT from local for any relay
# Send un-dkim-ed mails to dkimproxy
accept from local for any relay via smtp://127.0.0.1:10028
# Relay any local generated mails
# accept from local for any relay


# Any mails from external sources which are also routed to external sources are not catched at all
# They are denied for spam prevention



### SNIPPETS FOR SPAMASSASSIN ###
# Listen on port 10026, where spamassassin dumps its checked mails and tag them
#listen on lo port 10026 tag Filtered
# Accept every external mail from us and forward them to spamassassin
#accept from any for domain "simonszu.de" relay via "smtp://127.0.0.1:10025"
# Accept filtered mails from spamassassin for us and deliver it
# accept tagged Filtered for any alias <aliases> deliver to mbox

In meiner /etc/mailname steht nur simonszu.de
Im MX-Record für die Domain steht tatsächlich "smtp.simonszu.de". Könnte ich mal ändern, ist aber eigentlich egal, weil ich ein Wildcard-A-Record, bzw. AAAA-Record habe.
Joa, und dann halt noch die /etc/hosts,

Code: Alles auswählen

127.0.0.1       localhost
127.0.1.1       tharan.simonszu.de    simonszu.de    tharan

# The following lines are desirable for IPv6 capable hosts
::1     localhost ip6-localhost ip6-loopback
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters

Das sind jetzt alle Dateien, die ich eben so zusammengegreppt habe, wo der String 'tharan' drin vorkommt. Die TLS-Keys für den OpenSMTPd habe ich auch nur mit 'openssl genrsa' erstellt, da sollte also auch kein Hostname oder ähnliches eincodiert sein.

[HZB]

Dann kann es nur noch am Schlüssel liegen. Generiere Dir einen neuen, aber versuchs vielleicht mal opendkim-genkey:

Code: Alles auswählen

opendkim-genkey -s default  -d simonszu.de

[simonszu]

Wieder ein Fortschritt. Ich habe die Keys mit opendkim-Testkey generieren lassen, und den Record upgedatet, sowie den dkimproxy neu gestartet, um den neuen Key einzulesen. Jetzt ist der Public Key wieder auffindbar, aber die Validatoren meckern wieder wegen key mismatch. Also stehe ich wieder ganz am Anfang.

Code: Alles auswählen

DKIM Information:

DKIM Signature


Message contains this DKIM Signature:
DKIM-Signature: v=1; a=rsa-sha1; c=simple; d=simonszu.de; h=mime-version
	:from:date:message-id:subject:to:content-type; s=default; bh=3gQ
	Q8wA8SviSLWSaJVKF+OJo7HE=; b=ojJppRW04OmKboJtD93fxskDE5C/tIp1hFZ
	eUZp38jTuAz1iteuAvx3mHAfcTrRKiPcIU+efkgFHRt08XaFFdVtecm7veeRWkXy
	YAUcGS3AmpuvUQeDGZROnYnQ7W5D4pWfda8OH686rbAzpv9GARPP40SOPNPflwD2
	LsTubp+s=


Signature Information:
v= Version:         1
a= Algorithm:       rsa-sha1
c= Method:          simple
d= Domain:          simonszu.de
s= Selector:        default
q= Protocol:        
bh=                 3gQ
	Q8wA8SviSLWSaJVKF+OJo7HE=
h= Signed Headers:  mime-version
	:from:date:message-id:subject:to:content-type
b= Data:            ojJppRW04OmKboJtD93fxskDE5C/tIp1hFZ
	eUZp38jTuAz1iteuAvx3mHAfcTrRKiPcIU+efkgFHRt08XaFFdVtecm7veeRWkXy
	YAUcGS3AmpuvUQeDGZROnYnQ7W5D4pWfda8OH686rbAzpv9GARPP40SOPNPflwD2
	LsTubp+s=
Public Key DNS Lookup


Building DNS Query for default._domainkey.simonszu.de
Retrieved this publickey from DNS: v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCphDkASrfcHfB+V1MJAf/uZQYG9YzSrUl6g2V47dZrgpF1TSG8ZyP9f8RVMyt7Q/67XLQxgWPvbcpnCakuHO88A5UE5xG3Ds+Dev6r/w70OnOvHOui4Y1egUJgX4pWyiaLwozRf54RtudjpH0/Ydm7DDIXtC3eE5QZbVi9uwqx3wIDAQAB
Validating Signature


result = fail
Details: bad RSA signature

Immerhin hat er jetzt den richtigen Signee drin - und nicht mehr den tharan-Hostnamen.

[HZB]

opendkim-genky generiert ja 2 Keys den public und den private.
Nur um sicher zu gehen. Hast Du den private Key auch nach /etc/dkimproxy/keys/private.key kopiert ?

[simonszu]

...mit dem kleinen Unterschied, dass mein opendkim-genkey einen private-key und direkt ein txt-File mit dem gesamten Record in BIND-Syntax generiert hat.
Ja, ich habe den private.key in das Verzeichnis gepackt (und den dkimproxy danach neu gestartet), und die Payload aus besagtem txt-File in das Webfrontend meines Registrars gekippt.
Nur mal rein interessehalber: Wie sollte der Output von opendkim-testkey aussehen, wenn alles passt? Momentan liefert er nämlich einfach gar keinen Output - was ja eigentlich nicht schlecht scheint, im Vergleich zu früher, wo er gejammert hat, dass die Keys nicht matchen.
Vielleicht passen die Keys ja tatsächlich, es stimmt nur was nit mit der RSA-Signatur.
.
.
.
Hmm, okay. Ich habe noch mal den opendkim-testkey mit maximalem -v ausprobiert. Nun habe ich einen Output:

Code: Alles auswählen

 # opendkim-testkey -d simonszu.de -k private.key -s default -vvvvv
opendkim-testkey: key loaded from private.key
opendkim-testkey: checking key 'default._domainkey.simonszu.de'
opendkim-testkey: key not secure
opendkim-testkey: key OK

Ich glaube, ich bin kurz davor, alles richtig zu haben - bzw, eigentlich kann ich das ja tatsächlich so lassen. Aber wenn ich das mache, dann eigentlich richtig.