# Benutzen von DKIM in ISPconfig 3.1



## jmzbeki (24. Sep. 2016)

Hallo,
ich möchte gern DKIM benutzen, muss ich da irgendwas beachten oder einfach nur anklicken und schon ist es automatisch eingetragen und hinterlegt in den dns-einträgen??


----------



## florian030 (25. Sep. 2016)

Solange Du die DNS auch mit ISPConfig verwaltest musst Du dann ncihts weiter machen.


----------



## fuxifux (6. Okt. 2016)

Ich hänge mich da mal an: 
-muss etwas beachtet werden, wenn man einen älteren Server auf 3.1 updated?
-werden die Einstellungen, die in Amavis nötig sind auch automatisch von ISPConfig angelegt?
-muss man nach dem Anlegen des ersten DKIM nochmal die services rekonfigureiren?
Das es bei mir nicht funktioniert kann auch daran liegen, dass sich der DNS-Eintrag erst verbreiten muss, aber ich frage mal vorsichtshalber nach.
Im Manual von ISPConfig 3.1 und den perfect-server Anleitungen hab ich jedenfalls nichts gefunden.


----------



## florian030 (6. Okt. 2016)

Nein
Ja
Nein

Zum Debuggen: http://blog.schaal-24.de/dkim/debug-2/


----------



## fuxifux (6. Okt. 2016)

Kann da bei bind etwas schief gehen?
Seit ich bei einer domain DKIM aktiviert habe finde ich bei dig-Abfragen an den DNS keine TXT-Records für diese Domain mehr.

In der Zonendatei sind die Einträge aber vorhanden.


----------



## florian030 (7. Okt. 2016)

Der Code von DKIM ist seit gut 2 Jahren quasi stabil und auf zig Servern installiert. Das klingt eher so, als wäre Deine Abfrage mit dig falsch. Wenn Du DKIM aktivierst und einen eigenen DNS mit ISPConfig betreibst, dann kommt da nur ein TXT-Record mit dazu.


----------



## fuxifux (7. Okt. 2016)

Ja, genau so shaut das in der Zonen-Datei auch aus.

Einen Fehler hab ich schon mal gefunden, bei der zone hat im SPF-Record der letzte Punkt gefehlt.

Bei der Dig-Abfrage kommt aber der DKIM-Record noch immer nicht:

```
dig domain.at txt @server.domain.at
```
Der relevante Teil der Zone sieht so aus:

```
domain.at. 3600 A        91.121.33.217
www 3600 A        91.121.33.217
domain.at. 3600      MX    10   server.domain.at.
domain.at. 3600      NS        server.domain.at.
domain.at. 3600      NS        sdns2.domain.net.
default._domainkey.domain.at. 3600      TXT        "v=DKIM1; t=s; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCVbxWZlBcIIksQCzaK8PZCMxVZhmNGn0GHsQmYQc5wPxSibdSzqF5vHhK20vcCIWInwdJkT6MixtaiVpi3S5TTyJl4TujRqXkam9VBCH+qk5SAK2IBLD+AqXwy+WiPNQU3y8vXmgEhuI2st2ouWW2zoVgO47V+4rEdKECmMEjwswIDAQAB"
domain.at. 86400      TXT        "v=spf1 ip4:87.98.242.204 include:server.domain.at -all"
```


----------



## florian030 (7. Okt. 2016)

Ich zitiere einfach mal aus meinem Link aus #4:

dig default._domainkey.example.com TXT

Hast Du den SPF-Record selber erstellt oder den Wizard genommen? Würde mich doch sehr wundern, wenn der falsche Einträge generiert.


----------



## fuxifux (7. Okt. 2016)

Ah, danke! manchmal muss ich mit dem Kopf drauf gestoßen werden 
Im DNS ist der Record also vorhanden.

Der SPF-Record wurde ziemlich sicher selbst erstellt.
Bei allen anderen Maildomains ist er drin, auch in meinem Template.

Die Domain wird kaum für Mails verwendet, deswegen ist mir das wohl nie aufgefallen.

Jetzt fehlt nur noch, dass die ausgehenden Mails auch signiert werden, die Antwort von "check-auth2@verifier.port25.com" sieht so aus:


```
==========================================================
Summary of Results
==========================================================
SPF check:          pass
DomainKeys check:   neutral
DKIM check:         neutral
SpamAssassin check: ham

==========================================================
Details:
==========================================================

----------------------------------------------------------
SPF check details:
----------------------------------------------------------
Result:         pass
ID(s) verified: smtp.mailfrom=office@Domain.at
DNS record(s):
    Domain.at. SPF (no records)
    Domain.at. 86400 IN TXT "v=spf1 ip4:87.98.242.204 include:server.Domain.at -all"

----------------------------------------------------------
DomainKeys check details:
----------------------------------------------------------
Result:         neutral (message not signed)
ID(s) verified: header.From=office@Domain.at
DNS record(s):

----------------------------------------------------------
DKIM check details:
----------------------------------------------------------
Result:         neutral (message not signed)
ID(s) verified:

NOTE: DKIM checking has been performed based on the latest DKIM specs
.......
```
Oder muss ich da jetzt einfach darauf warten, dass sich die Änderung im DNS verbreitet?

Was ich selbst in Amavis geändert habe: in der Datei 50-user hab ich folgende Zeile eingefügt bzw geändert:

```
@inet_acl = qw(127.0.0.1 ::1 87.98.242.204);
```
damit die Mails nur von der IP versendet werden, die auch im SPF steht und den richtigen reverse-DNS Eintrag hat.
Das sollte aber auch keine Auswirkungen auf die DKIM - Signierung haben...


----------



## florian030 (7. Okt. 2016)

neutral (message not signed) = die Mail ist nicht signiert.
Übrigens: @inet_acl definiert die IPs, von denen Amavis einen Connect akzeptiert. In der master.cf geht das eigentlich immer über 127.0.0.1

Hast Du ein reconfigure services laufen lassen? Sonst fehlen Dir Änderungen in Amavis und Postfix, damit die Mails signiert werden, die Du über smtp einlieferst.


----------



## fuxifux (7. Okt. 2016)

Ich hatte Debian Wheezy mit ISPConfing 3.05...
Dann hab ich ein Upgrade auf Jessie gemacht, und danach ein Update mit reconfigure services von ISPConfig auf stable, aso 3.1
Danach hab ich auch noch ein resync für alle services gemacht.
Es sind zwar während dem Upgrade auf Jessie mehrere Config-File-Abfragen gekommen, aber ich hab auch im gespeicherten SSH-Log des Updates keine für amavis oder postfix gefunden.

Kann man die Änderungen für DKIM einfach selbst in den Config-Files finden bzw. prüfen?
Kann es sein,dass die Änderungen nicht gemacht wurden, weil zum Zeitpunkt des reconfigure Services DKIM noch für keine einzige Domain enabled war?

Edit: das @inet_acl hab ich dann vermutlich deswegen gemacht, weil ich in postfix die sendeadresse festgelegt habe. Ich weiss jedenfalls noch dass vor den Änderungen manchmal Mails auch von den anderen IP's des servers versendet wurden, und damit die reverse-DNS usw nicht gepasst hatten.

Edit2:
Ich hab jetzt nochmal ein update mit reconfigure services gemacht und folgende Meldung erhalten:

```
Configuring Postfix
Configuring Dovecot
Configuring Spamassassin
Configuring Amavisd
Configuring Getmail
Configuring BIND
[INFO] haveged not detected - DNSSEC can fail
Configuring Pureftpd
Configuring Apache
Configuring vlogger
Configuring Apps vhost
Configuring Jailkit
Configuring Database
Updating ISPConfig
```
das dürfte passen, im DNS sind die Einträge ja vorhanden - und DNSSEC steht weiter unten auf meiner ToDo-Liste..


----------



## mrairbrush (7. Okt. 2016)

Auch wenn man  einen Schlüssel erzeugt werden mails abgewiesen. Der Schlüssel  erscheint zwar bei einer gmail fehlermeldung aber sie erwarten noch eine IPV6 adresse.
Nach Einrichten der IPV6 kommen mails trotzdem zurück.

 host gmail-smtp-in.l.google.com[64.233.166.27] said:
  550-5.7.1 [91.xxx.xxx.xxx  18] Our system has detected that this
  message is 550-5.7.1 likely suspicious due to the very low reputation of
  the sending IP 550-5.7.1 address. To best protect our users from spam, the
  message has been 550-5.7.1 blocked. Please visit 550 5.7.1
https://support.google.com/mail/answer/188131 for more information.
  ql1si22589919wjc.85 - gsmtp (in reply to end of DATA command)


----------



## fuxifux (7. Okt. 2016)

@mrairbrush :
Das Problem liegt ja wie oben in der Fehlermeldung steht an dem "sehr niedrigen Ansehen" der sendenden IP-Adresse.
Hast du die IP gegen Blacklists gecheckt:
http://mxtoolbox.com/blacklists.aspx

Wenn man dem Link in der Meldung folgt, kommt man zu den Regeln, die Gmail gerne hätte.
Wenn die Regeln von Gmail jetzt eingehalten werden(und vorher nicht) kann es auch einfach nur dauern.

Zitat aus dem Troubleshooting von Gmail(ich bin nur dem Link gefolgt):

```
Wir freuen uns, dass Sie das Problem finden und beheben konnten. 
Beachten Sie bitte, dass es eventuell einige Zeit dauern wird, bis die Reputation Ihrer Domain wiederhergestellt ist, 
und dass es daher noch für einige Zeit zu Problemen bei der Zustellung von E-Mails an Gmail-Nutzer kommen kann. 
Dieses Problem wird sich von selbst lösen, wenn Sie konsequent die Richtlinien in unseren Hinweisen für Bulk-Absender befolgen.
```


----------



## florian030 (7. Okt. 2016)

Zitat von fuxifux:


> Kann man die Änderungen für DKIM einfach selbst in den Config-Files finden bzw. prüfen?


Klar, kannst Du machen. Für Amavis ist das in etwa:
	
	



```
$inet_socket_port = [10024,10026];
$forward_method = 'smtp:[127.0.0.1]:10025';
$notify_method = 'smtp:[127.0.0.1]:10027';
$interface_policy{'10026'} = 'ORIGINATING';
$policy_bank{'ORIGINATING'} = {originating => 1,smtpd_discard_ehlo_keywords => ['8BITMIME'],forward_method => 'smtp:[127.0.0.1]:10027',};
@mynetworks = qw(0.0.0.0/8 127.0.0.0/8 10.0.0.0/8 172.16.0.0/12 192.168.0.0/16);
$signed_header_fields{'received'} = 0;
$enable_dkim_verification = 1;
$enable_dkim_signing = 1;
@dkim_signature_options_bysender_maps = ({ '.' => { ttl => 21*24*3600, c => 'relaxed/simple' } } );
```
Ich bin mir aber ziemlich sicher, dass ich dazu noch was in der 3.1 geändert hatte - die Werte gehen aber auch.

Und für postfix kannst Du das hier nachlesen.



> Kann es sein,dass die Änderungen nicht gemacht wurden, weil zum Zeitpunkt des reconfigure Services DKIM noch für keine einzige Domain enabled war?


Nein.


----------



## fuxifux (7. Okt. 2016)

Ok, das wars.
Irgendwas hat anscheinend ISPConfig daran gehindert, die main.cf und die /etc/amavis/conf.d/50-user zu ändern.
(eventuell auch meine eigenen Änderungen)
Nachdem ich die Änderungen eingefügt habe und amavis und postfix neu gestartet habe läuft's!
Hilfreich wäre eventuell, wenn das ISPConfig-Update das scheitern solcher Änderungen melden würde. Oder gibt's da auch einen debug-Modus oder logfiles, den/die ich übersehen habe?

Jedenfalls vielen Dank für die Hilfe!

Edit:
Die Datei "/etc/amavis/50-user~" ist nach dem update mit reconfigure services übrig geblieben.
kann da auch ein Dateirechteproblem vorliegen?
Edit2:
Auch im Verzeichnis: "/etc/postfix/" sind eine Menge Dateien mit angehängtem ~ zu finden.
Edit3:
Das /var/log/ispconfig_install.log hab ich jetzt auch gefunden  da sind bei mir allerdings nur solche zeilen drin:

```
Fri Oct 7 18:25:58 CEST 2016 - [ISPConfig] - /tmp/ispconfig3_install/install/lib/installer_base.lib.php, Line 997: EXECUTED: postconf -e alias_maps = hash:/etc/aliases, hash:/var/lib/mailman/data/aliases
Fri Oct 7 18:25:58 CEST 2016 - [ISPConfig] - /tmp/ispconfig3_install/install/lib/installer_base.lib.php, Line 997: EXECUTED: postconf -e alias_database = hash:/etc/aliases, hash:/var/lib/mailman/data/aliases
Fri Oct 7 18:25:58 CEST 2016 - [ISPConfig] - /tmp/ispconfig3_install/install/lib/installer_base.lib.php, Line 997: EXECUTED: postconf -e virtual_alias_domains =
```
Da deutet nichts auf eventuelle Fehler hin...


----------



## fuxifux (7. Okt. 2016)

So, jetzt hab ich den eigentlichen Fehler gefunden:
Im Rahmen der Festlegung des Mailservers auf 1 IP habe ich in einer älteren ISPConfig Version conf-custom - Dateien für Postfix und amavis angelegt.
Die haben beim update auf 3.1 natürlich alle Neuerungen in den config-Dateien von psotfix und amavis  wieder rückgängig gemacht.

Jetzt stellt sich nur mehr die eine Frage: gibt es einen einfacheren Weg, den Server zu zwingen, Mails per smtp nur von einer bestimmten ip(nämlich der die zu server.domain.tld gehört) zu senden?


----------



## florian030 (8. Okt. 2016)

smtp_bind_address

Und ein reconfigure services schreibt ja nicht die komplette Config neu.


----------



## fuxifux (8. Okt. 2016)

Stimmt, die main.cf habe ich jetzt ändern können ohne custom conf.

Nur funktioniert dann bei mir amavis nicht mehr:
Ohne die angabe der per smtp_bind_address festgelegten IP in der 50-user unter @inet_acl bekomme ich beim versenden von Mails folgende Meldung im mail.log:

```
Oct  8 10:56:15 server amavis[5303]: (!)DENIED ACCESS from IP xx.xx.xx.xx, policy bank 'ORIGINATING'
```
Mails werden nicht zugestellt.

Und für die Änderung von @inet_acl benötige ich wieder eine conf-custom, da die im template von 3.1 fest gelegt wird.

Super wäre natürlich, wenn ich das irgendwie anders lösen könnte.


----------



## fuxifux (8. Okt. 2016)

Ich weiß zwar nicht, ob meine neue Lösung tatsächlich sauber ist aber immerhin:
ich hab jetzt im Verzeichnis "/etc/amavis/conf.d" die Datei: "55-postfix_smtp_bind_address" mit folgendem Inhalt erstellt:

```
use strict;

#Das file ist nur für die Festlegung auf eine Sende-IP in der main.cf von Postfix nötig
#======================================================================================
# Allow SMTP access from IPs in @inet_acl to amvisd SMTP Port
@inet_acl = qw( 127.0.0.1 [::1] IP.IP.IP.IP );


#------------ Do not modify anything below this line -------------
1;  # insure a defined return
```
 statt IP.IP.IP.IP hab ich die IP eingesetzt, auf die postfix per smtp_bind_address festgelegt wurde.

So kann ich auf die custom config verzichten und ändere in amavis ausschließlich den Eintrag, der mich am korrekten Mailversand hindert.

Hoffentlich kann ich mit der Lösung das eine oder ander Update schadlos überstehen


----------



## florian030 (9. Okt. 2016)

Die Datei wird beim Update nicht geändert. Ich verstehe nur nicht, warum amavis auf die public-ip des mailservers reagieren soll. Warum machst Du die connects zu amavis nicht über localhost?


----------



## fuxifux (9. Okt. 2016)

wenn ich wüsste wie das geht wäre das auch viel einfacher.
Die Fehlermeldung kommt, wenn ich smtp_bind_address festlege - und Mails gehen nicht mehr raus.
Meine main.cf sieht so aus:

```
# See /usr/share/postfix/main.cf.dist for a commented, more complete version


#Eingetragen für Sicherheit
###########################
smtpd_banner = $myhostname ESMTP
biff = no

# appending .domain is the MUA's job.
append_dot_mydomain = no

# Uncomment the next line to generate "delayed mail" warnings
#delay_warning_time = 4h

alias_maps = hash:/etc/aliases, hash:/var/lib/mailman/data/aliases
alias_database = hash:/etc/aliases, hash:/var/lib/mailman/data/aliases
mydestination = server.sportwebspace.at, localhost, localhost.localdomain
relayhost =
mynetworks = 127.0.0.0/8
#mynetworks = 127.0.0.0/8 [::1]/128
inet_interfaces = all
recipient_delimiter = +

#Damit wird nur von dieser IP gesendet!!
smtp_bind_address = IP.IP.IP.IP

readme_directory = /usr/share/doc/postfix
html_directory = /usr/share/doc/postfix/html
myorigin = /etc/mailname
mailbox_command = procmail -a "$EXTENSION"
mailbox_size_limit = 0
inet_protocols = all
myhostname = server.sportwebspace.at
virtual_alias_domains =
virtual_alias_maps = hash:/var/lib/mailman/data/virtual-mailman, proxy:mysql:/etc/postfix/mysql-virtual_forwardings.cf, proxy:mysql:/etc/postfix/mysql-virtual_email2email.cf
virtual_mailbox_domains = proxy:mysql:/etc/postfix/mysql-virtual_domains.cf
virtual_mailbox_maps = proxy:mysql:/etc/postfix/mysql-virtual_mailboxes.cf
virtual_mailbox_base = /var/vmail
virtual_uid_maps = mysql:/etc/postfix/mysql-virtual_uids.cf
virtual_gid_maps = mysql:/etc/postfix/mysql-virtual_gids.cf


smtpd_sasl_auth_enable = yes
broken_sasl_auth_clients = yes
smtpd_sasl_authenticated_header = yes


#Eingetragen für weniger SPAM
#############################
smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination, check_recipient_access mysql:/etc/postfix/mysql-virtual_recipient.cf, reject_rbl_client ix.dnsbl.manitu.net, reject_rbl_client sbl.spamhaus.org, reject_rbl_client cbl.abuseat.org, reject_rbl_client dul.dnsbl.sorbs.net, reject_rbl_client bl.spamcop.net, reject_rbl_client psbl.surriel.com, reject_rbl_client noptr.spamrats.com

smtpd_use_tls = yes
smtpd_tls_security_level = may
smtpd_tls_cert_file = /etc/postfix/smtpd.cert
smtpd_tls_key_file = /etc/postfix/smtpd.key
smtpd_tls_CAfile = /usr/local/ispconfig/interface/ssl/rapidssl.chain.server.crt

#Eingetragen für sichere SSL-Methoden
#####################################
smtpd_tls_exclude_ciphers = RC4, aNULL
smtp_tls_exclude_ciphers = RC4, aNULL
smtpd_tls_ciphers = high
smtp_tls_security_level = may
smtpd_tls_protocols = !SSLv2,!SSLv3


transport_maps = hash:/var/lib/mailman/data/transport-mailman, proxy:mysql:/etc/postfix/mysql-virtual_transports.cf
relay_domains = mysql:/etc/postfix/mysql-virtual_relaydomains.cf
relay_recipient_maps = mysql:/etc/postfix/mysql-virtual_relayrecipientmaps.cf

proxy_read_maps = $local_recipient_maps $mydestination $virtual_alias_maps $virtual_alias_domains $sender_bcc_maps $virtual_mailbox_maps $virtual_mailbox_domains $relay_recipient_maps $relay_domains $canonical_maps $sender_canonical_maps $recipient_canonical_maps $relocated_maps $transport_maps $mynetworks $smtpd_sender_login_maps
smtpd_sender_restrictions = check_sender_access regexp:/etc/postfix/tag_as_originating.re , permit_mynetworks, permit_sasl_authenticated, check_sender_access mysql:/etc/postfix/mysql-virtual_sender.cf, check_sender_access regexp:/etc/postfix/tag_as_foreign.re
smtpd_client_restrictions = check_client_access mysql:/etc/postfix/mysql-virtual_client.cf
smtpd_client_message_rate_limit = 100
maildrop_destination_concurrency_limit = 1
maildrop_destination_recipient_limit = 1
virtual_transport = dovecot
header_checks = regexp:/etc/postfix/header_checks
mime_header_checks = regexp:/etc/postfix/mime_header_checks
nested_header_checks = regexp:/etc/postfix/nested_header_checks
body_checks = regexp:/etc/postfix/body_checks
owner_request_special = no
dovecot_destination_recipient_limit = 1
smtpd_sasl_type = dovecot
smtpd_sasl_path = private/auth
content_filter = amavis:[127.0.0.1]:10024
receive_override_options = no_address_mappings
message_size_limit = 0

smtpd_tls_dh1024_param_file = /etc/postfix/dh_1024.pem
smtpd_tls_dh512_param_file = /etc/postfix/dh_512.pem
smtpd_tls_eecdh_grade = strong
tls_preempt_cipherlist = yes
smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3
smtp_tls_protocols = !SSLv2,!SSLv3
smtpd_relay_restrictions = permit_mynetworks, permit_sasl_authenticated, check_recipient_access mysql:/etc/postfix/mysql-virtual_recipient.cf, reject_unauth_destination, reject_rbl_client ix.dnsbl.manitu.net, reject_rbl_client sbl.spamhaus.org, reject_rbl_client cbl.abuseat.org, reject_rbl_client dul.dnsbl.sorbs.net, reject_rbl_client bl.spamcop.net, reject_rbl_client psbl.surriel.com, reject_rbl_client noptr.spamrats.com
sender_bcc_maps = proxy:mysql:/etc/postfix/mysql-virtual_outgoing_bcc.cf
smtpd_restriction_classes = greylisting
greylisting = check_policy_service inet:127.0.0.1:10023
smtpd_sender_login_maps = proxy:mysql:/etc/postfix/mysql-virtual_sender_login_maps.cf
smtpd_helo_required = yes
smtpd_helo_restrictions = permit_sasl_authenticated, permit_mynetworks, check_helo_access regexp:/etc/postfix/helo_access, reject_invalid_hostname, reject_non_fqdn_hostname, check_helo_access regexp:/etc/postfix/blacklist_helo
```


----------



## mrairbrush (14. Okt. 2016)

Zitat von fuxifux:


> @mrairbrush :
> Das Problem liegt ja wie oben in der Fehlermeldung steht an dem "sehr niedrigen Ansehen" der sendenden IP-Adresse.
> Hast du die IP gegen Blacklists gecheckt:
> http://mxtoolbox.com/blacklists.aspx
> ...


Da kommt alles grün und ok.


----------



## fuxifux (14. Okt. 2016)

werden von dem Mailserver auch Newsletter und ähnliche Massensendungen verschickt?


----------



## ug24 (14. Sep. 2017)

Hallo,

Ich habe ispconfig3 in der aktuellen Version und möchte gerne DKIM aktivieren.
Ich nutze jedoch einen externen DNS Nameserver. Ist dies ein Problem?


----------



## robotto7831a (14. Sep. 2017)

Zitat von ug24:


> Hallo,
> 
> Ich habe ispconfig3 in der aktuellen Version und möchte gerne DKIM aktivieren.
> Ich nutze jedoch einen externen DNS Nameserver. Ist dies ein Problem?


Nein. Du kopierst die Einstellungen auf deinen externen DNS und fertig.


----------



## ug24 (15. Sep. 2017)

Zitat von robotto7831a:


> Nein. Du kopierst die Einstellungen auf deinen externen DNS und fertig.


Klappt problemlos, danke.
Wenn ich eine Mail an Gmail oder Yahoo sende wird pass im Quelltext angezeigt. Allerdings blockt me.com alle E-Mails der Domains die auf dkim umgestellt sind. Die anderen Mails vom gleichen Server gehen weiterhin durch. Merkwürdig oder!?


----------



## Till (15. Sep. 2017)

Klingt fast so als ob da was mit dem dkim dns record oder dem dns spf record nicht stimmt. Es gibt ja diverse online dkim und dns tester im netz, versuch mal damit Dein setup zu testen.


----------



## ug24 (15. Sep. 2017)

Hi
Danke für die Rückmeldung. Bei mxtoolbox steht alles auf grün. 
Auch der Test bei dem man eine E-Mail hingewendet hat zeigte keine Auffälligkeiten. Wenn ich eine Mail an mein Google Konto sende steht bei den Tests im Header überall pass...


----------



## robotto7831a (15. Sep. 2017)

Bekommst Du eine Rückmeldung, warum geblockt wurde?


----------



## ug24 (15. Sep. 2017)

Ja bekomme ich:
host mx4.mail.icloud.com[xx.xx.xx.xx] said: 550 5.7.0
   Blocked - see
   proofpoint.com/dnsbl-lookup.cgi?ip=Xx.xx.xx.xx (in reply
   to MAIL FROM command)

Bei dem proofpoint steht meine Server IP. Sende ich allerdings eine Mail von gleichen Server mit der gleichen IP jedoch von einer Domain auf der kein dkim läuft wird die E-Mail problemlos zugestellt.sehr merkwürdig.


----------



## florian030 (16. Sep. 2017)

Wenn Du DKIM debuiggen willst: https://blog.schaal-24.de/dkim/debug-2/ und die IPs durch X zu ersetzen ist extrem hilfreich.
Wenn Du eine Mail vom gleichen Server und einer anderen Domain schickst, landet die dann auch bei mx4?
Hast Du mal Deine SPF und MX-Records durchgesehen?

Ich kenne kein Setup, bei dem eine Mail wegen DKIM abgelehnt wird. Es sei denn, Du hast das per DMARC so konfiguriert und der Empfänger prüft das tatsächlich.


----------



## ug24 (16. Sep. 2017)

Hallo Florian,

danke für deine Antwort.
Bei Apple wurde eine Mail ohne DKIM / DMAC auf unterschiedlichen Servern bei Apple zugestellt und mit DKIM / DMAC erfolgt auch die Ablehnung von unterschiedlichen Servern. Ich hatte beispielsweise gestern vom MX5 eine Zustellung (anderer Domain, gleicher Server) und heute eine Ablehnung von der dkim domain.

Hier mein DMAC Record:

```
_DMAC in 3600 TXT v=DMARC1; p=none; sp=none; rf=afrf; pct=100; ri=86400
```
Hier der SPF:

```
v=spf1 mx ip4:xxx.xxx.xxx.xx ip6:xxxx:xxxx:xxxx:xxx::x include:spf.protection.outlook.com ?all
```
Und hier noch der DKIM (gekürzt):

```
default._domainkey in 3600 TXT v=DKIM1; t=s; p=M...
```
Und das Testergebnis von Port 25:

```
==========================================================
Summary of Results
==========================================================
SPF check:          pass
DKIM check:         pass
SpamAssassin check: ham

==========================================================
Details:
==========================================================

HELO hostname:  srv.domain.tld
Source IP:      xxx.xxx.xxx.xx
mail-from:      email@domain.tld

----------------------------------------------------------
SPF check details:
----------------------------------------------------------
Result:         pass
ID(s) verified: smtp.mailfrom=email@domain.tld

DNS record(s):
    domain.tld. 86400 IN TXT "v=spf1 mx ip4:xxx.xxx.xxx.xx ip6:xxxx:xxxx:xxxx:xxx::x include:spf.protection.outlook.com ?all"
    domain.tld. 86400 IN MX 10 domain.tld.
   domain.tld. 86400 IN A xxx.xxx.xxx.xx


----------------------------------------------------------
DKIM check details:
----------------------------------------------------------
Result:         pass (matches From: email@domain.tld)
ID(s) verified: header.d=domain.tld

----------------------------------------------------------
SpamAssassin check details:
----------------------------------------------------------
SpamAssassin v3.4.1 (2015-04-28)

Result:         ham (1.2 points, 5.0 required)

 pts rule name              description
---- ---------------------- --------------------------------------------------
 0.0 NO_DNS_FOR_FROM        DNS: Envelope sender has no MX or A DNS records
 0.0 T_SPF_TEMPERROR        SPF: test of record failed (temperror)
 0.0 T_SPF_HELO_TEMPERROR   SPF: test of HELO record failed (temperror)
-1.9 BAYES_00               BODY: Bayes spam probability is 0 to 1%
                            [score: 0.0010]
 0.0 HTML_MESSAGE           BODY: HTML included in message
 0.7 MIME_HTML_ONLY         BODY: Message only has text/html MIME parts
-0.1 DKIM_VALID_AU          Message has a valid DKIM or DK signature from author's
                            domain
 0.1 DKIM_SIGNED            Message has a DKIM or DK signature, not necessarily valid
-0.1 DKIM_VALID             Message has at least one valid DKIM or DK signature
 0.0 TVD_SPACE_RATIO        No description available.
 2.5 PHP_ORIG_SCRIPT        Sent by bot & other signs
```


----------



## florian030 (18. Sep. 2017)

Zunächst sind das keine DMAC Records, sondern DMAR*C - *ist das nur ein Teppfuhler?
Den SPF-Record verstehe ich nicht. Wozu brauchst Du da noch IP-Adressen? Und der MX für die "nicht gehende Domain" zeigt auch wirklich auf dein Namen Deines Servers?


----------



## ug24 (18. Sep. 2017)

Hallo Florian,
nochmal vielen Dank für deine Antwort. 
Das war ein Tippfehler. Im Nameserver steht es natürlich richtig ;-)
Der SPF Record ist mit einem Wizard erstellt worden, er zeigt auf meinen eigenen Server sowie auf einen Exchange Server, der extern Betrieben wird. Bevor die IPs nicht da standen hatte Googlemail immer ein FAIL angezeigt, wenn die Mail über IPv6 versendet wude.

Der MX Zeigt auf meinen Server.

Wenn ich mir selbst eine eM ail an eine Googlemail Adresse sende, sieht der Header wie folgt aus:


----------



## florian030 (19. Sep. 2017)

Ich bin mir ziemlich sicher, dass google den PTR zu Deiner IPv6 nicht wollte. Grundsätzlich könnte Du das permanente anonymisieren der Daten überdenken - so wird das nämlich ncihts.
Und wenn nur ein Anbieter Deine Mails ableht, würde ich da einfach mal nachfragen.


----------

