OpenDKIM. bad RSA signature

0

1

Доброго времени суток. Столкнулся недавно с проблемой, как оказалось openDKIM не отрабатывает правильно. Некоторые адресаты режут письма, из-за того что при проверке подписи у меня

Validating Signature
result = fail
Details: bad RSA signature

Связка у меня Centos 7+postfix+dovecot.

Конфиг openDKIM

AutoRestart             Yes
AutoRestartRate         10/1h
Umask                   002
Syslog                  yes
SyslogSuccess           Yes
LogWhy                  Yes
Canonicalization        relaxed/simple
ExternalIgnoreList      refile:/etc/opendkim/TrustedHosts
InternalHosts           refile:/etc/opendkim/TrustedHosts
KeyTable                refile:/etc/opendkim/KeyTable
SigningTable            refile:/etc/opendkim/SigningTable
Mode                    sv
PidFile                 /var/run/opendkim/opendkim.pid
SignatureAlgorithm      rsa-sha256
UserID                  opendkim:opendkim
Socket                  inet:8891@localhost

В postfix

milter_protocol = 2
milter_default_action = accept
smtpd_milters = inet:localhost:8891
non_smtpd_milters = inet:localhost:8891

Логи maillog

Sep 17 13:55:39  opendkim[17082]: OpenDKIM Filter: mi_stop=1
Sep 17 13:55:39  opendkim[17082]: OpenDKIM Filter v2.11.0 terminating with status 0, errno = 0
Sep 17 13:55:39  opendkim[17911]: OpenDKIM Filter v2.11.0 starting (args: -x /etc/opendkim.conf -P /var/run/opendkim/opendkim.pid)
Sep 17 13:56:01 opendkim[17911]: 614DA5000060D: DKIM-Signature field added (s=mail, d=domain.ru)
Sep 17 13:56:01  postfix/pipe[17948]: 614DA5000060D: to=<q9yGPn6hXRzQYd@dkimvalidator.com>, relay=spamassassin, delay=0.51, delays=0.12/0.01/0/0.38, dsn=2.0.0, status=sent (delivered via spamassassin service)
Sep 17 13:56:01  opendkim[17911]: DC4EF5000060E: DKIM-Signature field added (s=mail, d=domain.ru)
Sep 17 13:56:02  opendkim[17911]: 07C745000060D: DKIM-Signature field added (s=mail, d=domain.ru)
Sep 17 13:56:02  clamsmtpd: 100B2B: from=admin@domain.ru, to=q9yGPn6hXRzQYd@dkimvalidator.com, status=CLEAN
Sep 17 13:56:02  postfix/smtp[17955]: DC4EF5000060E: to=<q9yGPn6hXRzQYd@dkimvalidator.com>, relay=127.0.0.1[127.0.0.1]:10025, delay=0.28, delays=0.08/0.01/0.05/0.13, dsn=2.0.0, status=sent (250 2.0.0 Ok: queued as 07C745000060D)

В чем может быть проблема? Куда копать?

Ссылка

←	Установка Debian 10

зависимости в UpStart

→

Смущает, что только у некоторых.

Нет ли ситуации, когда твое письмо автоматически пересылается на другой адрес?

vel ★★★★★
(17.09.20 15:58:32 MSK)

Ответ на: комментарий от vel 17.09.20 15:58:32 MSK

Возможно не все проверяют подпись dkim. Не совсем понял? У меня на почте и алиасы есть. Также есть парочка виртуальных адресов. Про это речь?

maximice
(17.09.20 16:38:09 MSK) автор топика

Ответ на: комментарий от maximice 17.09.20 16:38:09 MSK

Я сталкивался с ситуацией, когда в переадресованном письме подпись получалась битая.

Когда подписывается письмо, то указываются какие поля подписаны. Если они изменены в ходе пересылки, то подпись будет неправильная.

vel ★★★★★
(17.09.20 16:43:09 MSK)

Ответ на: комментарий от vel 17.09.20 16:43:09 MSK

Ну вот я пытаюсь со своего адреса отправлять, он не имеет псевдонима и все равно валидатор говорит что проверка не прошла

DKIM Information:

DKIM Signature

Message contains this DKIM Signature:
DKIM-Filter: OpenDKIM Filter v2.11.0 mail.domain.ru 07C745000060D
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/simple; d=domain.ru;
	s=mail; t=1600340162;
	bh=79lLnODjX2qcPyVXqGrSwz9xRc00h6Xs/HXxJYix6ec=;
	h=Date:From:To:From;
	b=AQxAypRNlOlet+n38gqhxrwteMXwZvcMxcgfw/6HBMPPjXEfhYwV4FiN4pJzmsxNJ
	 879K0fvEUwr4XsqwGNbcEgtakAGrcqATcNNgEuS7EUnQ6UQFSIgLSxXmxvQKUWOxRo
	 NGChiZncXPFmWCXYBZTz1/xjRcU4NQe9oSphVAxU=
DKIM-Filter: OpenDKIM Filter v2.11.0 mail.domain.ru DC4EF5000060E
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/simple; d=domain.ru;
	s=mail; t=1600340161;
	bh=79lLnODjX2qcPyVXqGrSwz9xRc00h6Xs/HXxJYix6ec=;
	h=Date:From:To:From;
	b=0PBxhA511sQECYQFk0/Pv6Zg/9hu1pje8OpBHDrEJpr0ZM2G7G4Ssd8o2cofXmkV2
	 YoWQb/XYNydiu4BKRw/maFpniVIs8X44fmE+WwowdazuQXR/Eg5zOhi+CZzcixo1qH
	 zIVSBj9/kcGr7EvqJrylXuTzuNTJjRDuXxdJ9+gg=
DKIM-Filter: OpenDKIM Filter v2.11.0 mail.domain.ru 614DA5000060D
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/simple; d=domain.ru;
	s=mail; t=1600340161;
	bh=79lLnODjX2qcPyVXqGrSwz9xRc00h6Xs/HXxJYix6ec=;
	h=Date:From:To:From;
	b=0PBxhA511sQECYQFk0/Pv6Zg/9hu1pje8OpBHDrEJpr0ZM2G7G4Ssd8o2cofXmkV2
	 YoWQb/XYNydiu4BKRw/maFpniVIs8X44fmE+WwowdazuQXR/Eg5zOhi+CZzcixo1qH
	 zIVSBj9/kcGr7EvqJrylXuTzuNTJjRDuXxdJ9+gg=


Signature Information:
v= Version:         1
a= Algorithm:       rsa-sha256
c= Method:          relaxed/simple
d= Domain:          domain.ru
s= Selector:        mail
q= Protocol:        
bh=                 79lLnODjX2qcPyVXqGrSwz9xRc00h6Xs/HXxJYix6ec=
h= Signed Headers:  Date:From:To:From
b= Data:            AQxAypRNlOlet+n38gqhxrwteMXwZvcMxcgfw/6HBMPPjXEfhYwV4FiN4pJzmsxNJ
	 879K0fvEUwr4XsqwGNbcEgtakAGrcqATcNNgEuS7EUnQ6UQFSIgLSxXmxvQKUWOxRo
	 NGChiZncXPFmWCXYBZTz1/xjRcU4NQe9oSphVAxU=
Public Key DNS Lookup

Building DNS Query for mail._domainkey.domain.ru
Retrieved this publickey from DNS: v=DKIM1;k=rsa;p=*KEY*

maximice
(17.09.20 16:47:59 MSK) автор топика

Ответ на: комментарий от maximice 17.09.20 16:47:59 MSK

А «From» дважды это опечатка?

h=Date:From:To:From;

IMHO «h=Date:From:To:Message-ID;» более разумно.

Гугл/яндекс/mailru проверяют DKIM. Если они говорят, что все хорошо, значит у тебя все хорошо.

Ты уверен, что режутся письма от тебя, а не поддельные?

Я видел письма с поддельными DKIM.

А подделки/пробемы DNS исключены у отдельных адресатов?

vel ★★★★★
(17.09.20 17:48:00 MSK)
Последнее исправление: vel 17.09.20 17:49:57 MSK (всего исправлений: 2)

Ответ на: комментарий от vel 17.09.20 17:48:00 MSK

Гугл/яндекс/mailru без проблем.

Ты уверен, что режутся письма от тебя, а не поддельные?

Уверен. Я сам тестовые письма отправлял, приходит отбойник

А подделки/пробемы DNS исключены у отдельных адресатов?

Релей имеется ввиду? Все запрещено, подделывать отправителя запрещено.

maximice
(18.09.20 08:47:58 MSK) автор топика

Ответ на: комментарий от vel 17.09.20 17:48:00 MSK

Сейчас opendkim на Centos вообще отключен. DKIM записи на регистраторе также прописаны. Чревато чем-то отключение opendkim ?

maximice
(18.09.20 09:45:19 MSK) автор топика

Ответ на: комментарий от maximice 18.09.20 09:45:19 MSK

Чревато чем-то отключение opendkim ?

Если в dns записи не удалить, то правильно настроенные почтовики будут твои письма спамом считать, а параноики не будут принимать такие письма.

Я сам тестовые письма отправлял, приходит отбойник

Удачи тебе с выяснением причин :)

Посмотри внимательно отлуп почтовика. Интересует какой софт используется.

Может это проблема кривого софта с той стороны. А возможно проблема не в DKIM.

Помниться были сервисы проверки DKIM. Не пробовал найти/воспользоваться?

vel ★★★★★
(18.09.20 10:09:20 MSK)

Ответ на: комментарий от vel 18.09.20 10:09:20 MSK

Может это проблема кривого софта с той стороны. А возможно проблема не в DKIM. Помниться были сервисы проверки DKIM. Не пробовал найти/воспользоваться?

Так я же выше и пишу, что проверяю DKIM validator и мне выдает ошибку. Так что я так и не понял куда копать.

Вот этот сервис

Так что точно на моей стороне, выше я написал что он выдал. Дублирую

DKIM Information:

DKIM Signature

Message contains this DKIM Signature:
DKIM-Filter: OpenDKIM Filter v2.11.0 mail.domain.ru 07C745000060D
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/simple; d=domain.ru;
	s=mail; t=1600340162;
	bh=79lLnODjX2qcPyVXqGrSwz9xRc00h6Xs/HXxJYix6ec=;
	h=Date:From:To:From;
	b=AQxAypRNlOlet+n38gqhxrwteMXwZvcMxcgfw/6HBMPPjXEfhYwV4FiN4pJzmsxNJ
	 879K0fvEUwr4XsqwGNbcEgtakAGrcqATcNNgEuS7EUnQ6UQFSIgLSxXmxvQKUWOxRo
	 NGChiZncXPFmWCXYBZTz1/xjRcU4NQe9oSphVAxU=
DKIM-Filter: OpenDKIM Filter v2.11.0 mail.domain.ru DC4EF5000060E
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/simple; d=domain.ru;
	s=mail; t=1600340161;
	bh=79lLnODjX2qcPyVXqGrSwz9xRc00h6Xs/HXxJYix6ec=;
	h=Date:From:To:From;
	b=0PBxhA511sQECYQFk0/Pv6Zg/9hu1pje8OpBHDrEJpr0ZM2G7G4Ssd8o2cofXmkV2
	 YoWQb/XYNydiu4BKRw/maFpniVIs8X44fmE+WwowdazuQXR/Eg5zOhi+CZzcixo1qH
	 zIVSBj9/kcGr7EvqJrylXuTzuNTJjRDuXxdJ9+gg=
DKIM-Filter: OpenDKIM Filter v2.11.0 mail.domain.ru 614DA5000060D
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/simple; d=domain.ru;
	s=mail; t=1600340161;
	bh=79lLnODjX2qcPyVXqGrSwz9xRc00h6Xs/HXxJYix6ec=;
	h=Date:From:To:From;
	b=0PBxhA511sQECYQFk0/Pv6Zg/9hu1pje8OpBHDrEJpr0ZM2G7G4Ssd8o2cofXmkV2
	 YoWQb/XYNydiu4BKRw/maFpniVIs8X44fmE+WwowdazuQXR/Eg5zOhi+CZzcixo1qH
	 zIVSBj9/kcGr7EvqJrylXuTzuNTJjRDuXxdJ9+gg=


Signature Information:
v= Version:         1
a= Algorithm:       rsa-sha256
c= Method:          relaxed/simple
d= Domain:          domain.ru
s= Selector:        mail
q= Protocol:        
bh=                 79lLnODjX2qcPyVXqGrSwz9xRc00h6Xs/HXxJYix6ec=
h= Signed Headers:  Date:From:To:From
b= Data:            AQxAypRNlOlet+n38gqhxrwteMXwZvcMxcgfw/6HBMPPjXEfhYwV4FiN4pJzmsxNJ
	 879K0fvEUwr4XsqwGNbcEgtakAGrcqATcNNgEuS7EUnQ6UQFSIgLSxXmxvQKUWOxRo
	 NGChiZncXPFmWCXYBZTz1/xjRcU4NQe9oSphVAxU=
Public Key DNS Lookup

Building DNS Query for mail._domainkey.domain.ru
Retrieved this publickey from DNS: v=DKIM1;k=rsa;p=*KEY*

maximice
(18.09.20 10:17:32 MSK) автор топика
Последнее исправление: maximice 18.09.20 10:19:56 MSK (всего исправлений: 1)

Ссылка

Ответ на: комментарий от vel 18.09.20 10:09:20 MSK

Попробовал в консоли тест сделать и был удивлен

opendkim-testkey -d domain.ru -s mail -k domain.private -vvv
opendkim-testkey: using default configfile /etc/opendkim.conf
opendkim-testkey: key loaded from domain.private
opendkim-testkey: checking key 'mail._domainkey.domain.ru'
opendkim-testkey: 'mail._domainkey.domain.ru' record not found

maximice
(18.09.20 10:58:55 MSK) автор топика

Ссылка

Ответ на: комментарий от maximice 18.09.20 08:47:58 MSK

Гугл/яндекс/mailru без проблем

Вот тут ты, скорей всего, ляпнул не подумав. Гугл принимает письма с неправильной подписью. И может даже не кидать из в спам. Но если посмотреть заголовки в письме, там будет видно, что подпись неверная.

~~Legioner~~ ★★★★★
(18.09.20 11:25:52 MSK)
Последнее исправление: Legioner 18.09.20 11:26:04 MSK (всего исправлений: 1)

Ответ на: комментарий от Legioner 18.09.20 11:25:52 MSK

Я сейчас пытаюсь сделать так, чтобы тест проходил. Однако тщетно. Конфиги лопачу и списки ( KeyTable , SigningTable)

maximice
(18.09.20 11:39:16 MSK) автор топика

Ответ на: комментарий от maximice 18.09.20 11:39:16 MSK

А что там лопатить. Если подпись в письме есть, значит OpenDKIM работает. Значит у тебя проблема с DNS. Засвети домен, можно будет глянуть.

~~Legioner~~ ★★★★★
(18.09.20 11:51:58 MSK)

Ответ на: комментарий от Legioner 18.09.20 11:51:58 MSK

Ещё не очень понятно, почему у тебя там этих подписей три штуки. Может в этом дело?

~~Legioner~~ ★★★★★
(18.09.20 11:53:25 MSK)

Ответ на: комментарий от Legioner 18.09.20 11:53:25 MSK

Тоже подумал на это. Сейчас понять пытаюсь почему их три

maximice
(18.09.20 11:54:50 MSK) автор топика

Ссылка

Ответ на: комментарий от Legioner 18.09.20 11:53:25 MSK

Мне кажется я намудрил в конфиге постфикса master.cf

smtp      inet  n       -       n       -       -       smtpd
    -o content_filter=spamassassin
    

submission     inet  n       -       n       -       -       smtpd
    -o content_filter=spamassassin
    -o smtpd_tls_security_level=may
    -o smtpd_sasl_auth_enable=yes
    -o smtpd_sasl_type=dovecot
    -o smtpd_sasl_path=/var/spool/postfix/private/auth
    -o smtpd_sasl_security_options=noanonymous
    -o smtpd_sasl_local_domain=$myhostname

smtps      inet n - n - - smtpd
    -o syslog_name=postfix/smtps
    -o smtpd_tls_wrappermode=yes
    -o smtpd_sasl_auth_enable=yes
    -o smtpd_client_restrictions=permit_sasl_authenticated,reject

dovecot    unix  -       n       n       -        -       pipe
    flags=DRhu user=vmail:vmail argv=/usr/libexec/dovecot/deliver -d ${recipient}

scan unix - - n - 16 smtp
     -o smtp_send_xforward_command=yes
     -o smtp_enforce_tls=no

127.0.0.1:10026 inet n - n - 16 smtpd
      -o content_filter=
      -o receive_override_options=no_unknown_recipient_checks,no_header_body_checks
      -o smtpd_helo_restrictions=
      -o smtpd_client_restrictions=
      -o smtpd_sender_restrictions=
      -o smtpd_recipient_restrictions=permit_mynetworks,reject
      -o mynetworks_style=host
      -o smtpd_authorized_xforward_hosts=127.0.0.0/8

spamassassin      unix  -       n       n       -       -       pipe
            flags=R user=spamd argv=/usr/bin/spamc -u spamd -e /usr/sbin/sendmail -oi -f $sender $recipient

main.cf

smtpd_milters = inet:127.0.0.1:8891
receive_override_options = no_address_mappings
non_smtpd_milters = $smtpd_milters
milter_default_action = accept
milter_protocol = 2
content_filter = scan:[127.0.0.1]:10025

transport_maps = hash:/etc/postfix/transport_maps

maximice
(18.09.20 12:10:41 MSK) автор топика
Последнее исправление: maximice 18.09.20 12:14:27 MSK (всего исправлений: 1)

Ответ на: комментарий от maximice 18.09.20 12:10:41 MSK

Такого вида конфиг я не использовал. Может мои конфиги помогут: https://vbezhenar.com/host-configuration.html#postfix письмо передаётся в OpenDKIM через smtpd_milters прописанное в master.cf для smtps

~~Legioner~~ ★★★★★
(18.09.20 14:05:02 MSK)
Последнее исправление: Legioner 18.09.20 14:05:40 MSK (всего исправлений: 1)

Ответ на: комментарий от Legioner 18.09.20 14:05:02 MSK

Посмотрю. Буду пробовать. Спасибо.

maximice
(18.09.20 14:09:46 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Установка Debian 10

Admin

зависимости в UpStart

→

Похожие темы