Frage zu DKIM

classic Classic list List threaded Threaded
6 messages Options
Reply | Threaded
Open this post in threaded view
|

Frage zu DKIM

Andreas Meyer-3
Hallo!

Ich habe hier einen Server, auf dem Amavis das Signieren und Verifizieren
mittels DKIM vornimmt und frage mich, warum in den Headerfields manche
Felder doppelt vorkommen.

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/simple; d=bitcorner.de; h=
 content-transfer-encoding:content-type:content-type:mime-version
 :x-mailer:organization:message-id:subject:subject:from:from:date
 :date; s=mail001; t=1413357186; x=1415171587; bh=s14J+iztnrytnRY
 zb7lhFG/jS/vrxWJnnahfijFMnco=; b=Czoptj6hGNrN8mbzTxQ6lzfOq7VMOc2
 jsuOjMXZ4R3cLjpcMrMAbFbLe6XLZdSi6fAuQAwFC3+7thtq9K43deOFLoKOezSF
 qO6RuyrR+fg081r/eUDMRxD7Cr13/oYVXob94KZyTgcoaLK5Jd8nfF6IiPgx7nD9
 tGrkkcYk09DU=

Außerdem sind die Authentication-Results bei email, die das System
verlassen hat (und nicht an eine Mailingliste gegangen ist), negativ:

Authentication-Results: hefe.heinlein-support.de (amavisd-new);
 dkim=fail (1024-bit key) reason="fail (message has been altered)"
 header.d=bitcorner.de

nicht so bei email, die intern zugestellt wurde:

Authentication-Results: mail.bitcorner.de (amavisd-new);
 dkim=pass (1024-bit key) reason="pass (just generated, assumed good)"
 header.d=bitcorner.de
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/simple; d=bitcorner.de; h=
 content-transfer-encoding:content-type:content-type:mime-version
 :x-mailer:organization:message-id:subject:subject:from:from:date
 :date:received:received; s=mail001; t=1413356399; x=1415170800;
  bh=3t7Ls+9Zep/GhZDdpaGb/wJKF8OzRaS/vh+hgQ6zdTk=; b=uWeVtUEGlcu0
 RZDo0c//m8MiX4oGQofQYoZ6r6XXaCCWvg4insOUEYqV6UDSoE73YiCz5tbyeR8K
 bNTRAZ1vqKPKEvxgoV+YbudwG20d8IsCC5LzJCNdTeaDxezR+ACkapFjG5Bn/GIG
 k+B0zZaLCVT8ab6a+JV91792ijv19JU=

Kennt jemand das Problem?

Grüße

  Andreas
--
_______________________________________________
Postfixbuch-users -- http://www.postfixbuch.de
Heinlein Professional Linux Support GmbH

[hidden email]
https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users
Reply | Threaded
Open this post in threaded view
|

Re: Frage zu DKIM

Kai Fürstenberg
Hallo Andreas,

Am 15.10.2014 09:19, schrieb Andreas Meyer:
> Ich habe hier einen Server, auf dem Amavis das Signieren und Verifizieren
> mittels DKIM vornimmt und frage mich, warum in den Headerfields manche
> Felder doppelt vorkommen.

das hier ^^ kann ich dir jetzt nicht sagen, das weiß ich nicht.

> Außerdem sind die Authentication-Results bei email, die das System
> verlassen hat (und nicht an eine Mailingliste gegangen ist), negativ:
>
> Authentication-Results: hefe.heinlein-support.de (amavisd-new);
>  dkim=fail (1024-bit key) reason="fail (message has been altered)"
>  header.d=bitcorner.de

Aber dieses Ergebnis hier ^^ dürfte von vermutlich von genau dieser
Mailing-Liste hier sein (hefe.heinlein-support.de) Und diese
Mailing-Liste verändert den Inhalt der E-Mail dadurch, dass eine
Signatur angehängt wird. Dadurch ist das Ergebnis negativ (message has
been altered).

--
Kai Fürstenberg

PM an: kai at fuerstenberg punkt ws

--
_______________________________________________
Postfixbuch-users -- http://www.postfixbuch.de
Heinlein Professional Linux Support GmbH

[hidden email]
https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users
Reply | Threaded
Open this post in threaded view
|

Re: Frage zu DKIM

Andreas Meyer-3
Hallo!

Kai Fürstenberg <[hidden email]> schrieb am 15.10.14 um 09:52:26 Uhr:

> Hallo Andreas,
>
> Am 15.10.2014 09:19, schrieb Andreas Meyer:
> > Ich habe hier einen Server, auf dem Amavis das Signieren und Verifizieren
> > mittels DKIM vornimmt und frage mich, warum in den Headerfields manche
> > Felder doppelt vorkommen.
>
> das hier ^^ kann ich dir jetzt nicht sagen, das weiß ich nicht.

Ich habe gerade gesehen, dass die Liste der signierten Felder h=
die einzeln abgearbeiteten Header bis zum Signieren enthält. Aber
date und from kommen in den Headern nur einmal vor im Gegensatz
zu z.B. Received-Zeilen. Und date und from und subject werden
verdoppelt.

> > Außerdem sind die Authentication-Results bei email, die das System
> > verlassen hat (und nicht an eine Mailingliste gegangen ist), negativ:
> >
> > Authentication-Results: hefe.heinlein-support.de (amavisd-new);
> >  dkim=fail (1024-bit key) reason="fail (message has been altered)"
> >  header.d=bitcorner.de
>
> Aber dieses Ergebnis hier ^^ dürfte von vermutlich von genau dieser
> Mailing-Liste hier sein (hefe.heinlein-support.de) Und diese
> Mailing-Liste verändert den Inhalt der E-Mail dadurch, dass eine
> Signatur angehängt wird. Dadurch ist das Ergebnis negativ (message has
> been altered).
>

Nein, dieses Authentication-Result ist von einer anderen einfach mail,
die an eine Adresse bei mailbox.org ging.

  Andreas
--
_______________________________________________
Postfixbuch-users -- http://www.postfixbuch.de
Heinlein Professional Linux Support GmbH

[hidden email]
https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users
Reply | Threaded
Open this post in threaded view
|

Re: Frage zu DKIM

Kai Fürstenberg
Am 15.10.2014 10:08, schrieb Andreas Meyer:

>> Am 15.10.2014 09:19, schrieb Andreas Meyer:
>>> Ich habe hier einen Server, auf dem Amavis das Signieren und Verifizieren
>>> mittels DKIM vornimmt und frage mich, warum in den Headerfields manche
>>> Felder doppelt vorkommen.
>>
>> das hier ^^ kann ich dir jetzt nicht sagen, das weiß ich nicht.
>
> Ich habe gerade gesehen, dass die Liste der signierten Felder h=
> die einzeln abgearbeiteten Header bis zum Signieren enthält. Aber
> date und from kommen in den Headern nur einmal vor im Gegensatz
> zu z.B. Received-Zeilen. Und date und from und subject werden
> verdoppelt.

habs gefunden. Das ist Absicht:
http://marc.info/?l=amavis-user&m=127194779526738&w=2

>>> Außerdem sind die Authentication-Results bei email, die das System
>>> verlassen hat (und nicht an eine Mailingliste gegangen ist), negativ:
>>>
>>> Authentication-Results: hefe.heinlein-support.de (amavisd-new);
>>>  dkim=fail (1024-bit key) reason="fail (message has been altered)"
>>>  header.d=bitcorner.de
>>
>> Aber dieses Ergebnis hier ^^ dürfte von vermutlich von genau dieser
>> Mailing-Liste hier sein (hefe.heinlein-support.de) Und diese
>> Mailing-Liste verändert den Inhalt der E-Mail dadurch, dass eine
>> Signatur angehängt wird. Dadurch ist das Ergebnis negativ (message has
>> been altered).
>>
>
> Nein, dieses Authentication-Result ist von einer anderen einfach mail,
> die an eine Adresse bei mailbox.org ging.

Oh, ja, genau, mailbox.org. Ist ja auch von Peer. Ich vergaß ...

Nichtsdestotrotz sagt das Ergebnis aber, dass die Mail verändert wurde
(z.B. durch Header/Body-checks, Canonical, irgendwelche Signaturen, wie
auch immer).

Prüfe mal den Inhalt einer Mail und alle angegebenen Header auf
Veränderungen, bzw. schalte den ein oder anderen Header in der Prüfung
mal aus.

--
Kai Fürstenberg

PM an: kai at fuerstenberg punkt ws

--
_______________________________________________
Postfixbuch-users -- http://www.postfixbuch.de
Heinlein Professional Linux Support GmbH

[hidden email]
https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users
Reply | Threaded
Open this post in threaded view
|

Re: Frage zu DKIM

Peer Heinlein
In reply to this post by Andreas Meyer-3
Am 15.10.2014 10:08, schrieb Andreas Meyer:

> Nein, dieses Authentication-Result ist von einer anderen einfach mail,
> die an eine Adresse bei mailbox.org ging.

Wir haben da bei uns gerade einen Bug offen daß irgendwas mit der
DKIM-Signierung nicht ganz rund ist. Klären wir derzeit und wird
vermutlich die Ursache sein.

Peer


--
Heinlein Support GmbH
Schwedter Str. 8/9b, 10119 Berlin

http://www.heinlein-support.de

Tel: 030 / 405051-42
Fax: 030 / 405051-19

Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht
Berlin-Charlottenburg,
Geschäftsführer: Peer Heinlein -- Sitz: Berlin
--
_______________________________________________
Postfixbuch-users -- http://www.postfixbuch.de
Heinlein Professional Linux Support GmbH

[hidden email]
https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users
Reply | Threaded
Open this post in threaded view
|

Re: Frage zu DKIM

Andreas Meyer-3
In reply to this post by Kai Fürstenberg
Kai Fürstenberg <[hidden email]> schrieb am 15.10.14 um 11:07:27 Uhr:

> Am 15.10.2014 10:08, schrieb Andreas Meyer:
> >> Am 15.10.2014 09:19, schrieb Andreas Meyer:
> >>> Ich habe hier einen Server, auf dem Amavis das Signieren und Verifizieren
> >>> mittels DKIM vornimmt und frage mich, warum in den Headerfields manche
> >>> Felder doppelt vorkommen.
> >>
> >> das hier ^^ kann ich dir jetzt nicht sagen, das weiß ich nicht.
> >
> > Ich habe gerade gesehen, dass die Liste der signierten Felder h=
> > die einzeln abgearbeiteten Header bis zum Signieren enthält. Aber
> > date und from kommen in den Headern nur einmal vor im Gegensatz
> > zu z.B. Received-Zeilen. Und date und from und subject werden
> > verdoppelt.
>
> habs gefunden. Das ist Absicht:
> http://marc.info/?l=amavis-user&m=127194779526738&w=2

Super, interessant!

> >>> Außerdem sind die Authentication-Results bei email, die das System
> >>> verlassen hat (und nicht an eine Mailingliste gegangen ist), negativ:
> >>>
> >>> Authentication-Results: hefe.heinlein-support.de (amavisd-new);
> >>>  dkim=fail (1024-bit key) reason="fail (message has been altered)"
> >>>  header.d=bitcorner.de
> >>
> >> Aber dieses Ergebnis hier ^^ dürfte von vermutlich von genau dieser
> >> Mailing-Liste hier sein (hefe.heinlein-support.de) Und diese
> >> Mailing-Liste verändert den Inhalt der E-Mail dadurch, dass eine
> >> Signatur angehängt wird. Dadurch ist das Ergebnis negativ (message has
> >> been altered).
> >>
> >
> > Nein, dieses Authentication-Result ist von einer anderen einfach mail,
> > die an eine Adresse bei mailbox.org ging.
>
> Oh, ja, genau, mailbox.org. Ist ja auch von Peer. Ich vergaß ...
>
> Nichtsdestotrotz sagt das Ergebnis aber, dass die Mail verändert wurde
> (z.B. durch Header/Body-checks, Canonical, irgendwelche Signaturen, wie
> auch immer).
>
> Prüfe mal den Inhalt einer Mail und alle angegebenen Header auf
> Veränderungen, bzw. schalte den ein oder anderen Header in der Prüfung
> mal aus.

Es hat offensichtlich mit

localhost:10025 inet    n       -       n       -       -       smtpd
        -o content_filter=
        -o smtpd_proxy_filter=
        -o mynetworks=127.0.0.0/8
        -o smtpd_client_restrictions=
        -o smtpd_helo_restrictions=
        -o smtpd_sender_restrictions=
        -o smtpd_recipient_restrictions=check_recipient_access,hash:/etc/postfix/hold,permit_mynetworks,reject
        -o smtpd_data_restrictions=
        -o receive_override_options=no_unknown_recipient_checks
        #,no_header_body_checks

zu tun. Ändere ich um in -o receive_override_options=no_unknown_recipient_checks,no_header_body_checks

gibt's kein failure:

Authentication-Results: gerste.heinlein-support.de (amavisd-new);
 dkim=pass (1024-bit key) header.d=bitcorner.de

Danke für den Hinweis! Nur hätte ich gerne die header_body_checks weiterhin
aktiv.

  Andreas
--
_______________________________________________
Postfixbuch-users -- http://www.postfixbuch.de
Heinlein Professional Linux Support GmbH

[hidden email]
https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users