MailPlus Server DKIM angeblich ungültig

lenswerk

New member
Hallo,

dies ist mein erster Beitrag in diesem Forum und daher möchte mich kurz vorstellen.
Ich bin seit 30 Jahren freiberuflicher Fotograf und Designer, 60 Jahre alt und lebe mit meiner Frau und meinem 16jährigen Sohn im Nordosten von Berlin.
Ich arbeite ausschließlich mit Mac Hardware und betreibe seit einiger Zeit u.a. einen eigenen Mailserver auf einer Synology DS1621+.
Das Ganze hängt (noch) an einer FritzBox 7590ax mit einer festen IP der Telekom, eine Domain habe ich bei STRATO registriert.

Grundsätzlich funktioniert der Mailserver absolut reibungslos. Jedoch scheint es ein Problem mit meinem DKIM Eintrag zu geben.

Wenn ich meine domain „domain.berlin“ via MX Toolbox teste, sind DKIM, DMARC und SPF alle grün, es gibt keinerlei Probleme.
Auf dem Synology Mailserver werden den berechtigten Benutzern die entsprechenden Mailadressen zugeordnet (benutzer1@domain.berlin, benutzer2@domain.berlin) etc.
Wenn ich jedoch z.B an die Seite „www.mail-tester.com“ eine Mail schicke (von z.B. benutzer1@domain.berlin), ist alles soweit ok, nur DKIM ist ungültig.
Das kann ja durchaus dazu führen, das sich der Score meiner Mails verschlechtert und unter Umständen im SPAM-Ordner einiger Empfänger landet.

Die DNS Einträge für DKIM und DMARC habe ich bei STRATO eingetragen, SPF habe ich bei „STRATO Standard“ belassen – gibt dort ja auch keine Probleme, die Berechtigungen passen.

In diesem Zusammenhang habe ich noch eine grundsätzliche Frage.
In den Einstellungen des MailPlus Servers habe ich bei „Mailübermittlung/Hostname (FQDN) den Namen meiner bei STRAO registrierten Domain eingetragen (domain.berlin). Dabei handelt es sich um den gleichen Namen des beim MailPlus Server/Domain angelegten Domainnamen. Ist das korrekt, oder habe ich dort einen Fehler gemacht? Ich kann ja mit dem MailPlus Server mehrere Domains verwalten, der Hostname (FQDN) muss doch jedoch der bei Strato registrierten Domain entsprechen, oder habe ich da einen Denkfehler?

Kurze Info, damit keine Irritation auftritt.
Ich habe eine .berlin Domain registriert, nicht.de, oder .com.

Wie gesagt, der Mailserver läuft seit fast einem Jahr absolut reibungsfrei auch bei öffentlichen Einrichtungen und Behörden kommen meine Mails sauber an.

Hat vielleicht jemand eine Idee weshalb der DKIM Eintrag trotzdem ungültig sein soll, zumal ja MX Toolbox keine Probleme sieht?

Vielen Dank schon einmal für Eure Gedanken
(herzliche Grüße übrigens an Bastian)
 
Zuletzt bearbeitet:

Barungar

Well-known member
Ich kann es natürlich nicht genau sagen, ohne alle Informationen zu haben.
Aber könnte es sein, dass Dein DKIM auf Strato konfiguriert ist; Du die Mail aber über Deinen eigenen Mail-Server versendest?
Dann würden im Zweifel nämlich die DKIM-Parameter nicht passen.

Die MX Toolbox macht keinen konkreten Test auf den DKIM-Selektor, der ist nämlich allein über den Domain-Namen nicht herauszubekomen. Die andere von Dir genannte Seite basiert darauf, dass Du dort eine Mail hinsendest. In dem Moment, so denn DKIM auf dem Mail-Server aktiviert ist, kennen die den vermeintlichen DKIM-Selektor.

Und nun kommt genau das ins Spiel, was ich oben meinte. Wenn nun der Selektor Deines eigenen Mail-Servers nicht dem der Strato-Konfiguration entspricht, dann schlägt die DKIM Prüfung der Mail fehl.
 

lenswerk

New member
@Barungar, vielen Dank für deine Antwort.
Aber könnte es sein, dass Dein DKIM auf Strato konfiguriert ist; Du die Mail aber über Deinen eigenen Mail-Server versendest?
Dann würden im Zweifel nämlich die DKIM-Parameter nicht passen.
Ich habe den, auf meinem NAS erstellten, DKIM Schlüssel mit dem entsprechenden Selektor bei STRATO in den DNS Einstellungen meiner Domain eingetragen.
Die MX Toolbox macht keinen konkreten Test auf den DKIM-Selektor, der ist nämlich allein über den Domain-Namen nicht herauszubekomen.
Auch bei MX Toolbox habe ich den Selektor mit angegeben, erst einmal bekomme ich einen bestandenen DKIM Test angezeigt.
Die andere von Dir genannte Seite basiert darauf, dass Du dort eine Mail hinsendest. In dem Moment, so denn DKIM auf dem Mail-Server aktiviert ist, kennen die den vermeintlichen DKIM-Selektor.
Genau, das bekomme ich in der Auswertung auch alles detailliert so angezeigt.
Und nun kommt genau das ins Spiel, was ich oben meinte. Wenn nun der Selektor Deines eigenen Mail-Servers nicht dem der Strato-Konfiguration entspricht, dann schlägt die DKIM Prüfung der Mail fehl.
Das kann ich absolut nachvollziehen. Hm, wo setzte ich da jetzt nur an?
Der MX zeigt bei STRATO auf meinen eigenen Mailserver, dort habe ich meinen Hostnamen (domain.berlin) eingetragen.
Ich habe jetzt im Augenblick echt keine Idee mehr.
 

lenswerk

New member
Ich habe bei den MailPlus Server Einstellungen/Domain/Erweitert den Selektor in folgender Form eingetragen:

„selektor._domainkey“ (selektor steht für einen anderen Namen)

Das ist doch korrekt, oder muss ich dort vielleicht das „._domainkey“ weglassen und nur den Selektor eintragen.
Wird das dann vielleicht intern automatisch ergänzt und in der Form „selektor._domainkey“ übertragen?
Ich suche halt nach einem Ansatz.
 

blurrrr

Well-known member
Also mir wäre neu, dass man "._domainkey" zusätzlich angeben muss, wenn nach dem Präfix gefragt wird.

Schau mal hier: https://global.download.synology.co.../Synology_MailPlus_Server_admin_guide_ger.pdf, Seite 73+74, es folgen ein paar Zitate aus dem Link:

DKIM-Auswahlpräfix: Das zu einer DKIM-Signatur hinzugefügte Präfix. Sie können ein DKIM-Auswahlpräfix nach Wahl eingeben.
Was Du ja bereits getan hast... Wenn man der Anleitung nun weiter folgt, steht dort:

Beispiel: Wenn die Domain von MailPlus Server beispiel.com lautet, ist das DKIM-Auswahlpräfix abc und der vom System erstellte öffentliche Schlüssel lautet MIGfMA0GCSqGSIb3DQE. Ihr TXT-Datensatz sollte wie folgt lauten:

• TXT-Datensatzname: abc._domainkey.beispiel.com

Kurzum: "._domainkey" hat im Präfix nichts zu suchen 🙂
 

lenswerk

New member
Demnach müßte ich in der Form „abc._domainkey.beispiel.com“
den DKIM Eintrag bei STRATO vornehmen?
 

blurrrr

Well-known member
Wie es auch im Mailplus-Handbuch steht:

- TXT-Datensatzname: abc._domainkey.beispiel.com
- TXT-Datensatzwert: v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQE

Der "Name" oder auch "Selector" hat noch den kleinen Hintergrund, dass es durchaus mehrere DKIM-Records geben kann, welche dann anhand des Selectors unterschieden werden. Hättest Du z.B. 2 Mailserver laufen (z.B. Zuhause + Büro) und beide sollen via DKIM gesichert sein, wäre das Vorhaben ja bei einem Mailserver schon am Ende. Durch das Präfix/den Selector könntest Du z.B. 2 verschiedene Einträge anlegen á la "zuhause" + "buero". Jeder Mailserver vor Ort würde sein eigenes Präfix nutzen und trotzdem würde alles "passen" (anhand der beiden DNS-Einträge für "zuhause" und "buero"). Der "Wert" enthält den öffentlichen Key und ein paar zusätzliche Parameter.

Auch wenn ich damit "lästig" wirke... es gibt für alles Standards, in diesem Fall jenen hier: https://datatracker.ietf.org/doc/html/rfc6376, worin auch die Sache mit dem "_domainkey" beschrieben ist: https://datatracker.ietf.org/doc/html/rfc6376#section-3.6.2.1. Heisst kurzum nichts anderes, als dass die Präfixe genau dort zu stehen haben (wie es im Standard festgelegt ist). Heisst also auch, dass wenn ein Programm nach dem "Präfix" fragt, dass es eben "nur" etwas wie z.B. "abc" ist. Die generelle Domain wurde ja auch schon irgendwo definiert (diese Dinge sind halt individuell), aber "._domainkey" ist festgelegt.

Standards können echt nervig sein (und teils auch wirklich ätzend zu lesen), aber faktisch steht halt alles drin... ein hoch auf die Standards! ☺️
 

lenswerk

New member
@blurrr, 😎 ich habe den Wink verstanden. Und ich danke Euch für den Input.
Übrigens, das Weglassen von ._domainkey bei den DKIM Einstellungen hat es gebracht, nun ist auch der DKIM Test bei „mail-tester.com“ auf grün und ich habe eine sehr gute Wertung mit 10/10 Punkten, passt jetzt also alles.
Wieder was dazu gelernt – cool.
 

blurrrr

Well-known member
Dann hast Du etwas falsch verstanden, ich habe garnicht gewunken 😁 Falls die Sache mit den Standards gemeint ist, das ist nur als kleine Randinfo gedacht gewesen (muss man ja auch erstmal wissen, dass es solche Dinge überhaupt gibt). Wenn man Dinge "wirklich" verstehen will (ggf. auch von den Abläufen her), dann sind die Standards (zwar lästig und oftmals lang) eigentlich immer eine gute Idee ☺️
 

Zurzeit aktive Besucher

Letzte Anleitungen

Statistik des Forums

Themen
913
Beiträge
13.421
Mitglieder
440
Neuestes Mitglied
nrnrp
Oben