MailPlus Server DKIM angeblich ungültig

lenswerk

Member
Hallo,

dies ist mein erster Beitrag in diesem Forum und daher möchte mich kurz vorstellen.
Ich bin seit 30 Jahren freiberuflicher Fotograf und Designer, 60 Jahre alt und lebe mit meiner Frau und meinem 16jährigen Sohn im Nordosten von Berlin.
Ich arbeite ausschließlich mit Mac Hardware und betreibe seit einiger Zeit u.a. einen eigenen Mailserver auf einer Synology DS1621+.
Das Ganze hängt (noch) an einer FritzBox 7590ax mit einer festen IP der Telekom, eine Domain habe ich bei STRATO registriert.

Grundsätzlich funktioniert der Mailserver absolut reibungslos. Jedoch scheint es ein Problem mit meinem DKIM Eintrag zu geben.

Wenn ich meine domain „domain.berlin“ via MX Toolbox teste, sind DKIM, DMARC und SPF alle grün, es gibt keinerlei Probleme.
Auf dem Synology Mailserver werden den berechtigten Benutzern die entsprechenden Mailadressen zugeordnet (benutzer1@domain.berlin, benutzer2@domain.berlin) etc.
Wenn ich jedoch z.B an die Seite „www.mail-tester.com“ eine Mail schicke (von z.B. benutzer1@domain.berlin), ist alles soweit ok, nur DKIM ist ungültig.
Das kann ja durchaus dazu führen, das sich der Score meiner Mails verschlechtert und unter Umständen im SPAM-Ordner einiger Empfänger landet.

Die DNS Einträge für DKIM und DMARC habe ich bei STRATO eingetragen, SPF habe ich bei „STRATO Standard“ belassen – gibt dort ja auch keine Probleme, die Berechtigungen passen.

In diesem Zusammenhang habe ich noch eine grundsätzliche Frage.
In den Einstellungen des MailPlus Servers habe ich bei „Mailübermittlung/Hostname (FQDN) den Namen meiner bei STRAO registrierten Domain eingetragen (domain.berlin). Dabei handelt es sich um den gleichen Namen des beim MailPlus Server/Domain angelegten Domainnamen. Ist das korrekt, oder habe ich dort einen Fehler gemacht? Ich kann ja mit dem MailPlus Server mehrere Domains verwalten, der Hostname (FQDN) muss doch jedoch der bei Strato registrierten Domain entsprechen, oder habe ich da einen Denkfehler?

Kurze Info, damit keine Irritation auftritt.
Ich habe eine .berlin Domain registriert, nicht.de, oder .com.

Wie gesagt, der Mailserver läuft seit fast einem Jahr absolut reibungsfrei auch bei öffentlichen Einrichtungen und Behörden kommen meine Mails sauber an.

Hat vielleicht jemand eine Idee weshalb der DKIM Eintrag trotzdem ungültig sein soll, zumal ja MX Toolbox keine Probleme sieht?

Vielen Dank schon einmal für Eure Gedanken
(herzliche Grüße übrigens an Bastian)
 
Zuletzt bearbeitet:
Ich kann es natürlich nicht genau sagen, ohne alle Informationen zu haben.
Aber könnte es sein, dass Dein DKIM auf Strato konfiguriert ist; Du die Mail aber über Deinen eigenen Mail-Server versendest?
Dann würden im Zweifel nämlich die DKIM-Parameter nicht passen.

Die MX Toolbox macht keinen konkreten Test auf den DKIM-Selektor, der ist nämlich allein über den Domain-Namen nicht herauszubekomen. Die andere von Dir genannte Seite basiert darauf, dass Du dort eine Mail hinsendest. In dem Moment, so denn DKIM auf dem Mail-Server aktiviert ist, kennen die den vermeintlichen DKIM-Selektor.

Und nun kommt genau das ins Spiel, was ich oben meinte. Wenn nun der Selektor Deines eigenen Mail-Servers nicht dem der Strato-Konfiguration entspricht, dann schlägt die DKIM Prüfung der Mail fehl.
 
@Barungar, vielen Dank für deine Antwort.
Aber könnte es sein, dass Dein DKIM auf Strato konfiguriert ist; Du die Mail aber über Deinen eigenen Mail-Server versendest?
Dann würden im Zweifel nämlich die DKIM-Parameter nicht passen.
Ich habe den, auf meinem NAS erstellten, DKIM Schlüssel mit dem entsprechenden Selektor bei STRATO in den DNS Einstellungen meiner Domain eingetragen.
Die MX Toolbox macht keinen konkreten Test auf den DKIM-Selektor, der ist nämlich allein über den Domain-Namen nicht herauszubekomen.
Auch bei MX Toolbox habe ich den Selektor mit angegeben, erst einmal bekomme ich einen bestandenen DKIM Test angezeigt.
Die andere von Dir genannte Seite basiert darauf, dass Du dort eine Mail hinsendest. In dem Moment, so denn DKIM auf dem Mail-Server aktiviert ist, kennen die den vermeintlichen DKIM-Selektor.
Genau, das bekomme ich in der Auswertung auch alles detailliert so angezeigt.
Und nun kommt genau das ins Spiel, was ich oben meinte. Wenn nun der Selektor Deines eigenen Mail-Servers nicht dem der Strato-Konfiguration entspricht, dann schlägt die DKIM Prüfung der Mail fehl.
Das kann ich absolut nachvollziehen. Hm, wo setzte ich da jetzt nur an?
Der MX zeigt bei STRATO auf meinen eigenen Mailserver, dort habe ich meinen Hostnamen (domain.berlin) eingetragen.
Ich habe jetzt im Augenblick echt keine Idee mehr.
 
Ich habe bei den MailPlus Server Einstellungen/Domain/Erweitert den Selektor in folgender Form eingetragen:

„selektor._domainkey“ (selektor steht für einen anderen Namen)

Das ist doch korrekt, oder muss ich dort vielleicht das „._domainkey“ weglassen und nur den Selektor eintragen.
Wird das dann vielleicht intern automatisch ergänzt und in der Form „selektor._domainkey“ übertragen?
Ich suche halt nach einem Ansatz.
 
Also mir wäre neu, dass man "._domainkey" zusätzlich angeben muss, wenn nach dem Präfix gefragt wird.

Schau mal hier: https://global.download.synology.co.../Synology_MailPlus_Server_admin_guide_ger.pdf, Seite 73+74, es folgen ein paar Zitate aus dem Link:

DKIM-Auswahlpräfix: Das zu einer DKIM-Signatur hinzugefügte Präfix. Sie können ein DKIM-Auswahlpräfix nach Wahl eingeben.
Was Du ja bereits getan hast... Wenn man der Anleitung nun weiter folgt, steht dort:

Beispiel: Wenn die Domain von MailPlus Server beispiel.com lautet, ist das DKIM-Auswahlpräfix abc und der vom System erstellte öffentliche Schlüssel lautet MIGfMA0GCSqGSIb3DQE. Ihr TXT-Datensatz sollte wie folgt lauten:

• TXT-Datensatzname: abc._domainkey.beispiel.com

Kurzum: "._domainkey" hat im Präfix nichts zu suchen 🙂
 
Demnach müßte ich in der Form „abc._domainkey.beispiel.com“
den DKIM Eintrag bei STRATO vornehmen?
 
Wie es auch im Mailplus-Handbuch steht:

- TXT-Datensatzname: abc._domainkey.beispiel.com
- TXT-Datensatzwert: v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQE

Der "Name" oder auch "Selector" hat noch den kleinen Hintergrund, dass es durchaus mehrere DKIM-Records geben kann, welche dann anhand des Selectors unterschieden werden. Hättest Du z.B. 2 Mailserver laufen (z.B. Zuhause + Büro) und beide sollen via DKIM gesichert sein, wäre das Vorhaben ja bei einem Mailserver schon am Ende. Durch das Präfix/den Selector könntest Du z.B. 2 verschiedene Einträge anlegen á la "zuhause" + "buero". Jeder Mailserver vor Ort würde sein eigenes Präfix nutzen und trotzdem würde alles "passen" (anhand der beiden DNS-Einträge für "zuhause" und "buero"). Der "Wert" enthält den öffentlichen Key und ein paar zusätzliche Parameter.

Auch wenn ich damit "lästig" wirke... es gibt für alles Standards, in diesem Fall jenen hier: https://datatracker.ietf.org/doc/html/rfc6376, worin auch die Sache mit dem "_domainkey" beschrieben ist: https://datatracker.ietf.org/doc/html/rfc6376#section-3.6.2.1. Heisst kurzum nichts anderes, als dass die Präfixe genau dort zu stehen haben (wie es im Standard festgelegt ist). Heisst also auch, dass wenn ein Programm nach dem "Präfix" fragt, dass es eben "nur" etwas wie z.B. "abc" ist. Die generelle Domain wurde ja auch schon irgendwo definiert (diese Dinge sind halt individuell), aber "._domainkey" ist festgelegt.

Standards können echt nervig sein (und teils auch wirklich ätzend zu lesen), aber faktisch steht halt alles drin... ein hoch auf die Standards! ☺️
 
@blurrr, 😎 ich habe den Wink verstanden. Und ich danke Euch für den Input.
Übrigens, das Weglassen von ._domainkey bei den DKIM Einstellungen hat es gebracht, nun ist auch der DKIM Test bei „mail-tester.com“ auf grün und ich habe eine sehr gute Wertung mit 10/10 Punkten, passt jetzt also alles.
Wieder was dazu gelernt – cool.
 
Dann hast Du etwas falsch verstanden, ich habe garnicht gewunken 😁 Falls die Sache mit den Standards gemeint ist, das ist nur als kleine Randinfo gedacht gewesen (muss man ja auch erstmal wissen, dass es solche Dinge überhaupt gibt). Wenn man Dinge "wirklich" verstehen will (ggf. auch von den Abläufen her), dann sind die Standards (zwar lästig und oftmals lang) eigentlich immer eine gute Idee ☺️
 
@blurrr, 😎 ich habe den Wink verstanden. Und ich danke Euch für den Input.
Übrigens, das Weglassen von ._domainkey bei den DKIM Einstellungen hat es gebracht, nun ist auch der DKIM Test bei „mail-tester.com“ auf grün und ich habe eine sehr gute Wertung mit 10/10 Punkten, passt jetzt also alles.
Wieder was dazu gelernt – cool.
Hi Lenswerk, ich habe alles so versucht in meinem MailPlus und Strato wie von Dir beschrieben, doch ich bekomme es nicht hin. Bei Mail-Tester bleibt diese Vorgehensweise auf Rot und DKIM wird nicht erkannt. Kannst Du mir helfen?
 
Es funktioniert unter Mail-Tester alles bis auf DKIM.

Ich habe auf meinem Synology Mail Plus Server einen Schlüssel generiert und so, wie von Euch beschrieben, in Strato eingebunden. Dennoch zeigt er mir bei Mail-Tester an, dass er den DKIM Schlüssel nicht findet.

Aus diesem Grund kommen meine Mails bei ....@t-online.de scheinbar auch nicht an.

Der User Lenswerk schreibt "Übrigens, das Weglassen von ._domainkey bei den DKIM Einstellungen hat es gebracht".

Wo hat er es weg gelassen, beim Schlüssel erstellen im Mail Plus Server oder bei den Strato Einstellungen?
 
Lies doch einfach mal den Thread vollständig, habe doch alles beschrieben? Ist fraglich, was bei Dir jetzt "anders" ist :)
 
Hallo @JPloetzner,
ich habe mich jetzt schon recht lange nicht mehr mit diesem Thema beschäftigt und musste auch erst einmal kramen, blurrrr steht da diesbezüglich viel besser im Saft und hat mir schon oft auf die Sprünge geholfen, mein Dank noch einmal dafür. ;-)

Also, beim Mail Plus Server unter Domain/Domainname/Allgemein/Erweitert/DKIM-Auswahlpräfix habe ich nur einen selbst gewälten Namen eingetragen, ohne „._domainkey“.

Bei STRATO bei der Domainverwaltung deiner registrierten Domain: TXT, CHAME, DKIM, dort hinterlegst du in deinem TXT-Eintrag für DKIM bei Präfix deinen selbst gewählte Auswahlpäfix, aber diesmal mit dem Zusatz ._domainkey und auf der rechten Seite dann deine registrierte Domain.

Im Bereich „Wert“ darunter kommt:
v=DKIM1;
dein_generierter_Schlüssel; t=s

Das sollte es dort erst einmal gewesen sein, blurrrr, bitte korrigiere mich, wenn ich was Falsches gesagt habe. Bei mir funktioniert es so jedenfalls. Wenn es bei dir damit auch funktioniert, freut es mich, wenn ich mal was beitragen konnte und nicht nur Fragen habe;-))
 
Gab es bei T-Online und anderen großen nicht auch die Unsitte, dass es nicht reicht ein korrekt konfigurierten Mailserver zu haben, sondern man diesen auch noch bei den Postmastern dort anmelden musste... Damit die Emails angenommen haben?

Nur so als zusätzliche Idee, hat ja nix direkt mit dem dkim Problem zu tun.

Nur jedes Mal wenn mir im Bekanntenkreis jemand was von Email Zustellproblemen erzählt... Kommt im nächsten Satz fast immer gmx (die anderen vom United Internet Konzern sind ja irgendwie nicht betroffen / deutlich seltener) oder T-online. Mit letzteren kann man wenigstens kommunizieren, bei ersteren kommt meist nicht mal eine Antwort.
 
Gab es bei T-Online und anderen großen nicht auch die Unsitte, dass es nicht reicht ein korrekt konfigurierten Mailserver zu haben, sondern man diesen auch noch bei den Postmastern dort anmelden musste... Damit die Emails angenommen haben?
Mit GMX o.ä. gibt es mit meinen Einstellungen absolut kein Problem. Mein Server läuft bei mir an einer festen IP und nicht über einen Relay-Host.
 

Zurzeit aktive Besucher

Keine Mitglieder online.

Letzte Anleitungen

Statistik des Forums

Themen
5.816
Beiträge
56.830
Mitglieder
5.732
Neuestes Mitglied
christoph__1979
Zurück
Oben