Fehlerhafte Signatur durch OpenDKIM?

classic Classic list List threaded Threaded
13 messages Options
Reply | Threaded
Open this post in threaded view
|

Fehlerhafte Signatur durch OpenDKIM?

Andreas Pothe-2

Hallo,

seit kurzem erhalte ich im Thunderbird-Plug "DKIM Verifier" bei Mails meiner eigenen Domain, dass der DKIM Schlüssel falsch formatiert seit (doppelter Tag). Ich finde hierzu nichts, auch sehe ich selbst keinen Fehler. Ist das ein Problem des Plugins oder ist wirklich irgendwas falsch in meiner DKIM-Signierung? Wenn letzteres, was muss ich korrigieren?

Ein Beispiel anbei:

Return-Path: [hidden email]
X-Original-To: [hidden email]
Delivered-To: [hidden email]
Received: from localhost (localhost [127.0.0.1])
	by mail.pothe.de (Postfix) with ESMTP id 8D8BE1F4AC
	for [hidden email]; Wed,  8 Apr 2020 07:54:08 +0200 (CEST)
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/simple; d=pothe.de; s=201708;
	t=1586325248; bh=cV0MXmKCebNr3E9bys0jQNTc05ILUu/tZuQEbs7GySE=;
	h=To:From:Subject:Date:From;
	b=XbOhCnQULPaDtRwiaA9JjpRLDnbm4n7Z3jTC8Hvve71IF1D67gS+gZ0Ndu32+hDjt
	 JWDRdtczA91uTo7W2KbzvgT72diK6MXZ0XScj6+jalKsFtpnq5DBb9iBOJgMhabUUy
	 n6FaqL2k20vZTxg+FhPWyFn1fqVkCee0oVDwyRMu3nWGA1K9VieUn7TS9ke0HfUFkv
	 RQkLECvlTKXwTOLIN3gjDdLj5vaVDWzugNvqNO+FtshSRLKgI/2x5meHJdeozFoKtS
	 5lrU5ngoU/N9v4lHolo0bbcz4OctqnVOch6NGZemsRI7xumu5rqnLyLuJbd1UX0EqO
	 q9tVuMCd4zeVw==
X-Virus-Scanned: Debian amavisd-new at mail.proweser.de
X-Spam-Flag: NO
X-Spam-Score: -1
X-Spam-Level:
X-Spam-Status: No, score=-1 tagged_above=-999 required=4
	tests=[ALL_TRUSTED=-1] autolearn=ham autolearn_force=no
Received: from mail.pothe.de ([127.0.0.1])
	by localhost (mail.pothe.de [127.0.0.1]) (amavisd-new, port 10024)
	with ESMTP id LiyTA4z-iuoR for [hidden email];
	Wed,  8 Apr 2020 07:54:08 +0200 (CEST)
Received: from [192.168.142.34] (x59cc895f.dyn.telefonica.de [89.204.137.95])
	(using TLSv1.3 with cipher TLS_AES_256_GCM_SHA384 (256/256 bits)
	 key-exchange ECDHE (P-384) server-signature ECDSA (P-384))
	(No client certificate requested)
	by mail.pothe.de (Postfix) with ESMTPSA id 45B071F470
	for [hidden email]; Wed,  8 Apr 2020 07:54:08 +0200 (CEST)
To: [hidden email]
From: Andreas Pothe [hidden email]
Subject: Test
Message-ID: [hidden email]
Date: Wed, 8 Apr 2020 07:54:09 +0200
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:68.0) Gecko/20100101
 Thunderbird/68.6.0
MIME-Version: 1.0
Content-Type: text/plain; charset=utf-8
Content-Transfer-Encoding: 7bit

Test Test


Danke und viele Grüße
Andreas
Reply | Threaded
Open this post in threaded view
|

Re: Fehlerhafte Signatur durch OpenDKIM?

Klaus Tachtler
Hallo Andreas,

was sagt den:
https://www.dmarcanalyzer.com/de/dkim-de/dkim-record-check/


Grüße
Klaus.

--
Diese Nachricht wurde von meinem Android-Gerät mit FairMail gesendet.

Von: Andreas Pothe <[hidden email]>
An: Diskussionen und Support rund um Postfix <[hidden email]>
Empfangen: 08.04.2020 08:13:30
Betreff: Fehlerhafte Signatur durch OpenDKIM?


> Hallo,
> seit kurzem erhalte ich im Thunderbird-Plug "DKIM Verifier" bei Mails meiner eigenen Domain, dass der DKIM Schlüssel falsch formatiert seit (doppelter Tag). Ich finde hierzu nichts, auch sehe ich selbst keinen Fehler. Ist das ein Problem des Plugins oder ist wirklich irgendwas falsch in meiner DKIM-Signierung? Wenn letzteres, was muss ich korrigieren?
>
> Ein Beispiel anbei:
> Return-Path:
> <[hidden email]>
>
> X-Original-To:
> [hidden email]
>
> Delivered-To:
> [hidden email]
>
> Received: from localhost (localhost [127.0.0.1])
> by mail.pothe.de (Postfix) with ESMTP id 8D8BE1F4AC
> for
> <[hidden email]>
> ; Wed,  8 Apr 2020 07:54:08 +0200 (CEST)
> DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/simple; d=pothe.de; s=201708;
> t=1586325248; bh=cV0MXmKCebNr3E9bys0jQNTc05ILUu/tZuQEbs7GySE=;
> h=To:From:Subject:Date:From;
> b=XbOhCnQULPaDtRwiaA9JjpRLDnbm4n7Z3jTC8Hvve71IF1D67gS+gZ0Ndu32+hDjt
> JWDRdtczA91uTo7W2KbzvgT72diK6MXZ0XScj6+jalKsFtpnq5DBb9iBOJgMhabUUy
> n6FaqL2k20vZTxg+FhPWyFn1fqVkCee0oVDwyRMu3nWGA1K9VieUn7TS9ke0HfUFkv
> RQkLECvlTKXwTOLIN3gjDdLj5vaVDWzugNvqNO+FtshSRLKgI/2x5meHJdeozFoKtS
> 5lrU5ngoU/N9v4lHolo0bbcz4OctqnVOch6NGZemsRI7xumu5rqnLyLuJbd1UX0EqO
> q9tVuMCd4zeVw==
> X-Virus-Scanned: Debian amavisd-new at mail.proweser.de
> X-Spam-Flag: NO
> X-Spam-Score: -1
> X-Spam-Level:
> X-Spam-Status: No, score=-1 tagged_above=-999 required=4
> tests=[ALL_TRUSTED=-1] autolearn=ham autolearn_force=no
> Received: from mail.pothe.de ([127.0.0.1])
> by localhost (mail.pothe.de [127.0.0.1]) (amavisd-new, port 10024)
> with ESMTP id LiyTA4z-iuoR for
> <[hidden email]>
> ;
> Wed,  8 Apr 2020 07:54:08 +0200 (CEST)
> Received: from [192.168.142.34] (x59cc895f.dyn.telefonica.de [89.204.137.95])
> (using TLSv1.3 with cipher TLS_AES_256_GCM_SHA384 (256/256 bits)
> key-exchange ECDHE (P-384) server-signature ECDSA (P-384))
> (No client certificate requested)
> by mail.pothe.de (Postfix) with ESMTPSA id 45B071F470
> for
> <[hidden email]>
> ; Wed,  8 Apr 2020 07:54:08 +0200 (CEST)
> To:
> [hidden email]
>
> From: Andreas Pothe
> <[hidden email]>
>
> Subject: Test
> Message-ID:
> <[hidden email]>
>
> Date: Wed, 8 Apr 2020 07:54:09 +0200
> User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:68.0) Gecko/20100101
>  Thunderbird/68.6.0
> MIME-Version: 1.0
> Content-Type: text/plain; charset=utf-8
> Content-Transfer-Encoding: 7bit
>
> Test Test
>
>
> Danke und viele Grüße
> Andreas
>



--

---------------------------------------
e-Mail  : [hidden email]
Homepage: https://www.tachtler.net
DokuWiki: https://dokuwiki.tachtler.net
---------------------------------------

Reply | Threaded
Open this post in threaded view
|

Re: Fehlerhafte Signatur durch OpenDKIM?

Rainer Wiesenfarth
Von: Andreas Pothe <[hidden email]>

Hallo,
seit kurzem erhalte ich im Thunderbird-Plug "DKIM Verifier" bei Mails meiner eigenen Domain, dass der DKIM Schlüssel falsch formatiert seit (doppelter Tag). Ich finde hierzu nichts, auch sehe ich selbst keinen Fehler. Ist das ein Problem des Plugins oder ist wirklich irgendwas falsch in meiner DKIM-Signierung? Wenn letzteres, was muss ich korrigieren?

Ein Beispiel anbei:
[...]
DKIM-Signature: [...]
>       h=To:From:Subject:Date:From;
>       [...]

Hallo,

ich bin zwar DKIM-Laie, habe aber - zumindest gelegentlich - den "analytischen Blick": Kann es an dem doppelten "From" liegen?

Viele Grüße
Rainer

--
Software Engineer | Trimble Imaging Division
Rotebühlstraße 81 | 70178 Stuttgart | Germany
Office +49 711 22881 0 | Fax +49 711 22881 11
http://www.trimble.com/imaging/ | http://www.inpho.de/

Trimble Germany GmbH, Am Prime Parc 11, 65479 Raunheim
Eingetragen beim Amtsgericht Darmstadt unter HRB 83893,
Geschäftsführer: Rob Reeder, Jürgen Kesper
Reply | Threaded
Open this post in threaded view
|

Re: Fehlerhafte Signatur durch OpenDKIM?

Peter Buettner
In reply to this post by Andreas Pothe-2
Hallo Andreas,

spaßeshalber habe ich bei mir DKIM-Verifier 2.2.0 installiert und
erhalte bei Deiner Mail:

DKIM Gültig (signiert durch pothe.de)

Dagegen erhalte ich eine Fehlermeldung bei einer vorherigen Mail in
dieser Liste:

Re: outbound mail modifizieren

von Carsten Rosenberg

DKIM Ungültig (Signatur falsch)


Nun frage ich mich, warum mein postfix bei dieser Mail nicht
angesprungen ist.

DKIM ist schon bei der Installation ein empfindliches Ding. Sehr
wahrscheinlich auch der Verifier.

Deshalb benutze ich SPF.


Viele Grüße

Peter Büttner


Am 08.04.20 um 08:13 schrieb Andreas Pothe:

> Hallo,
>
> seit kurzem erhalte ich im Thunderbird-Plug "DKIM Verifier" bei Mails
> meiner eigenen Domain, dass der DKIM Schlüssel falsch formatiert seit
> (doppelter Tag). Ich finde hierzu nichts, auch sehe ich selbst keinen
> Fehler. Ist das ein Problem des Plugins oder ist wirklich irgendwas
> falsch in meiner DKIM-Signierung? Wenn letzteres, was muss ich korrigieren?
>
> Ein Beispiel anbei:
>
> Return-Path: <[hidden email]>
> X-Original-To: [hidden email]
> Delivered-To: [hidden email]
> Received: from localhost (localhost [127.0.0.1])
> by mail.pothe.de (Postfix) with ESMTP id 8D8BE1F4AC
> for <[hidden email]>; Wed,  8 Apr 2020 07:54:08 +0200 (CEST)
> DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/simple; d=pothe.de; s=201708;
> t=1586325248; bh=cV0MXmKCebNr3E9bys0jQNTc05ILUu/tZuQEbs7GySE=;
> h=To:From:Subject:Date:From;
> b=XbOhCnQULPaDtRwiaA9JjpRLDnbm4n7Z3jTC8Hvve71IF1D67gS+gZ0Ndu32+hDjt
> JWDRdtczA91uTo7W2KbzvgT72diK6MXZ0XScj6+jalKsFtpnq5DBb9iBOJgMhabUUy
> n6FaqL2k20vZTxg+FhPWyFn1fqVkCee0oVDwyRMu3nWGA1K9VieUn7TS9ke0HfUFkv
> RQkLECvlTKXwTOLIN3gjDdLj5vaVDWzugNvqNO+FtshSRLKgI/2x5meHJdeozFoKtS
> 5lrU5ngoU/N9v4lHolo0bbcz4OctqnVOch6NGZemsRI7xumu5rqnLyLuJbd1UX0EqO
> q9tVuMCd4zeVw==
> X-Virus-Scanned: Debian amavisd-new at mail.proweser.de
> X-Spam-Flag: NO
> X-Spam-Score: -1
> X-Spam-Level:
> X-Spam-Status: No, score=-1 tagged_above=-999 required=4
> tests=[ALL_TRUSTED=-1] autolearn=ham autolearn_force=no
> Received: from mail.pothe.de ([127.0.0.1])
> by localhost (mail.pothe.de [127.0.0.1]) (amavisd-new, port 10024)
> with ESMTP id LiyTA4z-iuoR for <[hidden email]>;
> Wed,  8 Apr 2020 07:54:08 +0200 (CEST)
> Received: from [192.168.142.34] (x59cc895f.dyn.telefonica.de [89.204.137.95])
> (using TLSv1.3 with cipher TLS_AES_256_GCM_SHA384 (256/256 bits)
> key-exchange ECDHE (P-384) server-signature ECDSA (P-384))
> (No client certificate requested)
> by mail.pothe.de (Postfix) with ESMTPSA id 45B071F470
> for <[hidden email]>; Wed,  8 Apr 2020 07:54:08 +0200 (CEST)
> To: [hidden email]
> From: Andreas Pothe <[hidden email]>
> Subject: Test
> Message-ID: <[hidden email]>
> Date: Wed, 8 Apr 2020 07:54:09 +0200
> User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:68.0) Gecko/20100101
>  Thunderbird/68.6.0
> MIME-Version: 1.0
> Content-Type: text/plain; charset=utf-8
> Content-Transfer-Encoding: 7bit
>
> Test Test
>
>
> Danke und viele Grüße
> Andreas
>
>
Reply | Threaded
Open this post in threaded view
|

Re: Fehlerhafte Signatur durch OpenDKIM?

Alex JOST
In reply to this post by Andreas Pothe-2
Am 08.04.2020 um 08:13 schrieb Andreas Pothe:
> Hallo,
>
> seit kurzem erhalte ich im Thunderbird-Plug "DKIM Verifier" bei Mails
> meiner eigenen Domain, dass der DKIM Schlüssel falsch formatiert seit
> (doppelter Tag). Ich finde hierzu nichts, auch sehe ich selbst keinen
> Fehler. Ist das ein Problem des Plugins oder ist wirklich irgendwas
> falsch in meiner DKIM-Signierung? Wenn letzteres, was muss ich korrigieren?

Vielleicht verschluckt sich das Add-on an den Tags in deinem
DNS-Eintrag? Vor allem das Service-Tag (s=email:tlsrpt) ist recht
ungewöhnlich.

--
Alex JOST
Reply | Threaded
Open this post in threaded view
|

Re: Fehlerhafte Signatur durch OpenDKIM?

Andreas Pothe-2
In reply to this post by Klaus Tachtler
Moin,

Am 08.04.2020 um 08:22 schrieb Klaus Tachtler:
> was sagt den:
> https://www.dmarcanalyzer.com/de/dkim-de/dkim-record-check/

Der sagte gar nichts. Das war merkwürdig. Und schon habe ich den Fehler
gefunden: Ich hatte meinen DKIM-Eintrag um einen tlsrpt-Eintrag ergänzt
gehabt und dabei einen Fehler gemacht. Geändert auf "s=email:tlsrpt;"
(wie man es machen sollte) und schon funktioniert es und auch der
Analyzer checkt den Eintrag.

Interessant ist, dass der Parser bei ungültigem DKIM-Selector nicht
sagt, dass er fehlerhaft ist, sondern dass er sagt, dass der Selektor
nicht existiert...

Noch interessanter, dass OpenDKIM der Faux-Pas völlig egal war (auch
beim Überprüfen), aber das DKIM-Plugin beim Thunderbird den Fehler anzeigte.

Danke für den Denkanstoß!

Viele Grüße
Andreas

Reply | Threaded
Open this post in threaded view
|

Re: Fehlerhafte Signatur durch OpenDKIM?

Alex JOST
In reply to this post by Rainer Wiesenfarth
Am 08.04.2020 um 08:58 schrieb Rainer Wiesenfarth:

>>
>> Von: Andreas Pothe <[hidden email]>
>>
>> Hallo,
>> seit kurzem erhalte ich im Thunderbird-Plug "DKIM Verifier" bei Mails
>> meiner eigenen Domain, dass der DKIM Schlüssel falsch formatiert seit
>> (doppelter Tag). Ich finde hierzu nichts, auch sehe ich selbst keinen
>> Fehler. Ist das ein Problem des Plugins oder ist wirklich irgendwas falsch
>> in meiner DKIM-Signierung? Wenn letzteres, was muss ich korrigieren?
>>
>> Ein Beispiel anbei:
>> [...]
>
> DKIM-Signature: [...]
>>>        h=To:From:Subject:Date:From;
>>>        [...]
>>
>
> Hallo,
>
> ich bin zwar DKIM-Laie, habe aber - zumindest gelegentlich - den
> "analytischen Blick": Kann es an dem doppelten "From" liegen?

Manche Header werden mehrfach signiert, um zu verhindern, dass sie
nachträglich (doppelt) hinzugefügt werden.

--
Alex JOST
Reply | Threaded
Open this post in threaded view
|

Re: Fehlerhafte Signatur durch OpenDKIM?

Infoomatic
In reply to this post by Andreas Pothe-2

Hi,

Leider find ichs grad in meinen Aufzeichnungen nicht, aber ich glaube mich dumpf erinnern zu können dass OpenDKIM einen ziemlich lästigen Bug hat bei der Verifizierung wenn die Daten vom DNS per EDNS0 extension (rfc6891) reinkommen...

LG,

Robert


On 08.04.20 10:48, Andreas Pothe wrote:
Moin,

Am 08.04.2020 um 08:22 schrieb Klaus Tachtler:
was sagt den:
https://www.dmarcanalyzer.com/de/dkim-de/dkim-record-check/
Der sagte gar nichts. Das war merkwürdig. Und schon habe ich den Fehler
gefunden: Ich hatte meinen DKIM-Eintrag um einen tlsrpt-Eintrag ergänzt
gehabt und dabei einen Fehler gemacht. Geändert auf "s=email:tlsrpt;"
(wie man es machen sollte) und schon funktioniert es und auch der
Analyzer checkt den Eintrag.

Interessant ist, dass der Parser bei ungültigem DKIM-Selector nicht
sagt, dass er fehlerhaft ist, sondern dass er sagt, dass der Selektor
nicht existiert...

Noch interessanter, dass OpenDKIM der Faux-Pas völlig egal war (auch
beim Überprüfen), aber das DKIM-Plugin beim Thunderbird den Fehler anzeigte.

Danke für den Denkanstoß!

Viele Grüße
Andreas

Reply | Threaded
Open this post in threaded view
|

Re: Fehlerhafte Signatur durch OpenDKIM?

Andreas Pothe-2
In reply to this post by Alex JOST

Am 08.04.2020 um 10:47 schrieb Alex JOST:
>
> Vielleicht verschluckt sich das Add-on an den Tags in deinem
> DNS-Eintrag? Vor allem das Service-Tag (s=email:tlsrpt) ist recht
> ungewöhnlich.
>
Der war vorher fehlerhaft (hatte übersehen, dass die einzelnen
Service-Typen mit Doppelpunkt getrennt werden. Ich finde die RfC fast
immer unnötig kompliziert formuliert, da hatte ich das übersehen), daher
auch die merkwürdigen Fehlermeldungen in Thunderbird.

Aber s=email:tlsrpt ist jetzt der korrekte und ganz normale Eintrag,
wenn das DKIM für E-Mails gilt und man darüberhinaus auch TLSRPT
unterstützen möchte. Und das möchte ich :) Und kaum macht man es
richtig, funktioniert es auch.

BTW, Alex: Deine DKIM-Angaben setzen ganz schön viel voraus. Sodass die
Verteilung über die Mailingliste Deinen Eintrag ungültig macht. Je
nachdem, wie streng Mailserver prüfen, könnte es sein, dass Deine Mails
nicht alle erreichen (ziemlich viele Mailserver dürften dadurch
hochscoren, manche sogar ablehnen).

Viele Grüße
Andreas

Reply | Threaded
Open this post in threaded view
|

Re: Fehlerhafte Signatur durch OpenDKIM?

Alex JOST
Am 08.04.2020 um 14:26 schrieb Andreas Pothe:
>
> BTW, Alex: Deine DKIM-Angaben setzen ganz schön viel voraus. Sodass die
> Verteilung über die Mailingliste Deinen Eintrag ungültig macht. Je
> nachdem, wie streng Mailserver prüfen, könnte es sein, dass Deine Mails
> nicht alle erreichen (ziemlich viele Mailserver dürften dadurch
> hochscoren, manche sogar ablehnen).

Das Problem entsteht vermutlich, weil die Mailingliste einen neuen
Reply-To Header setzt. Mal sehen, ob es daran liegt.

--
Alex JOST
Reply | Threaded
Open this post in threaded view
|

Re: Fehlerhafte Signatur durch OpenDKIM?

Andreas Pothe-2
Jetzt ist die DKIM-Prüfung erfolgreich gewesen. Also ja.

Am 08.04.2020 um 15:28 schrieb Alex JOST:

> Am 08.04.2020 um 14:26 schrieb Andreas Pothe:
>>
>> BTW, Alex: Deine DKIM-Angaben setzen ganz schön viel voraus. Sodass die
>> Verteilung über die Mailingliste Deinen Eintrag ungültig macht. Je
>> nachdem, wie streng Mailserver prüfen, könnte es sein, dass Deine Mails
>> nicht alle erreichen (ziemlich viele Mailserver dürften dadurch
>> hochscoren, manche sogar ablehnen).
>
> Das Problem entsteht vermutlich, weil die Mailingliste einen neuen
> Reply-To Header setzt. Mal sehen, ob es daran liegt.
>
Reply | Threaded
Open this post in threaded view
|

TLSRPT? (was Fehlerhafte Signatur durch OpenDKIM?)

Andreas Schulze
In reply to this post by Andreas Pothe-2
Am 08.04.2020 um 14:26 schrieb Andreas Pothe:
> Aber s=email:tlsrpt ist jetzt der korrekte und ganz normale Eintrag,
> wenn das DKIM für E-Mails gilt und man darüberhinaus auch TLSRPT
> unterstützen möchte. Und das möchte ich :) Und kaum macht man es
> richtig, funktioniert es auch.

Hallo,

interpretiere ich hier richtig, dass Du planst, Reports über eingehenden
TLS-Verbindungen zu versenden?

(auch) Andreas

Reply | Threaded
Open this post in threaded view
|

Re: TLSRPT?

Andreas Pothe-2
Moin,

Am 08.04.2020 um 19:50 schrieb A. Schulze:
> Am 08.04.2020 um 14:26 schrieb Andreas Pothe:
>> Aber s=email:tlsrpt ist jetzt der korrekte und ganz normale Eintrag,
>> wenn das DKIM für E-Mails gilt und man darüberhinaus auch TLSRPT
>> unterstützen möchte. Und das möchte ich :) Und kaum macht man es
>> richtig, funktioniert es auch.
>
> interpretiere ich hier richtig, dass Du planst, Reports über
> eingehenden TLS-Verbindungen zu versenden?
>
Nein, ich will sie erhalten. Ob ich das dauerhaft in Betrieb lasse, weiß
ich noch nicht, aber momentan möchte ich Reportings haben.

CU
Andreas