DKIM alightnment - не проходит тест

0

1

При отсылке тестового письма на mxtoolbox.com не проходит тест DKIM alightnment. Хотя при этом домен совпадает в DKIM-Signature: d=domain.com и в заголовке FROM: noreply@domain.com. В Dmarc записи присутствует adkim=s; для строгого соответствия.

Ссылка

←	SSH KEY менеджмент

Отключить обновления Debian

→

при этом тест SPF/DKIM/DMARC удачный:

Received-SPF: Pass (mailfrom) identity=mailfrom; client-ip=IP-address; helo=mta5.domain.com; envelope-from=noreply@domain.com; receiver=<UNKNOWN> 
Authentication-Results: mxi-2.vivaldi.net; dmarc=pass (p=none dis=none) header.from=domain.com
Authentication-Results: mxi-2.vivaldi.net; spf=pass smtp.mailfrom=noreply@domain.com
Authentication-Results: mxi-2.vivaldi.net;
  dkim=pass (2048-bit key; unprotected) header.d=domain.com header.i=noreply@domain.com header.a=rsa-sha256 header.s=key1 header.b=afdRckDT;
  dkim-atps=neutral

zorinquen ★
(24.03.22 14:39:03 MSK) автор топика

Ответ на: комментарий от zorinquen 24.03.22 14:39:03 MSK

заметил что в почтовых заголовках у DKIM-Signature и в DomainKey-Signature разные алгоритмы: sha256 и sha1

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed;....

DomainKey-Signature: a=rsa-sha1; c=nofws; q=dns;...

zorinquen ★
(24.03.22 14:42:42 MSK) автор топика

Ответ на: комментарий от zorinquen 24.03.22 14:42:42 MSK

DomainKey устарел когда Вы ещё не родились (немного преувеличил) :)

mail-tester.com что показывает ?

suffix ★★
(24.03.22 16:05:07 MSK)

Ответ на: комментарий от suffix 24.03.22 16:05:07 MSK

SPF/DKIM записи найдены на https://www.mail-tester.com/spf-dkim-check

zorinquen ★
(24.03.22 17:18:40 MSK) автор топика

Ответ на: комментарий от zorinquen 24.03.22 17:18:40 MSK

Нет, письмо тестовое отправьте на mail-tester.com и результат сюда выложите.

(Скорее всего результат будет нормальный и с dkim будет всё нормально.)

И также тестовое письмо отправьте на https://dkimvalidator.com/

(Скорее всего результат будет отрицательный и сервис dkim валидным не признает).

Разумеется тестовые письма отправляйте тем же способом и точно такие же что и раньше делали.

suffix ★★
(24.03.22 18:01:20 MSK)
Последнее исправление: suffix 24.03.22 18:12:15 MSK (всего исправлений: 2)

Ответ на: комментарий от suffix 24.03.22 18:01:20 MSK

c dkimvalidator.com:


DKIM Information:
DKIM Signature

Message contains this DKIM Signature:
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; s=key1; d=domain.com;
 h=FROM:To:Subject:MIME-Version:Content-Type:Message-ID:Date; i=noreply@domain.com;
 bh=RRis32X+6jd6XgW4kvIC0Yx2LYXDh5TBWGuIbxXiFaQ=;
 b=NKJdhfpBYgXU9sNaEeGWFI/qmvzjQt8nKR8cZRllwOC2MW9Zsb3VwgwoznY2mdfYjwvRGW9dTtYY
   caKa4A12pHHB3VhGiLeytNijmx5/EHnBaLYsXcXKkNkdxQFgupDBLw3YY1zteTEOQDNed0vFV3jz
   Om0B1L0Nchsz3ZXp1x47tZvET9E/TKYp9oeo0vF1n3muUkhDN2YVi/+OP94dElnKj4DDRB21l7p1
   9QSL2ThUDsXO1t0cf4QzfAHF0t2ZBuqUrM8jjyW7ElAoPUHbd/CjFsmwtvkNmHAlS435LVfaF8Cg
   65cR4DAlJerXdJQBp/Fn80CzAHBfUCc1ZtS+RQ==


Signature Information:
v= Version:         1
a= Algorithm:       rsa-sha256
c= Method:          relaxed/relaxed
d= Domain:          domain.com
s= Selector:        key1
q= Protocol:        
bh=                 RRis32X+6jd6XgW4kvIC0Yx2LYXDh5TBWGuIbxXiFaQ=
h= Signed Headers:  FROM:To:Subject:MIME-Version:Content-Type:Message-ID:Date
b= Data:            NKJdhfpBYgXU9sNaEeGWFI/qmvzjQt8nKR8cZRllwOC2MW9Zsb3VwgwoznY2mdfYjwvRGW9dTtYY
   caKa4A12pHHB3VhGiLeytNijmx5/EHnBaLYsXcXKkNkdxQFgupDBLw3YY1zteTEOQDNed0vFV3jz
   Om0B1L0Nchsz3ZXp1x47tZvET9E/TKYp9oeo0vF1n3muUkhDN2YVi/+OP94dElnKj4DDRB21l7p1
   9QSL2ThUDsXO1t0cf4QzfAHF0t2ZBuqUrM8jjyW7ElAoPUHbd/CjFsmwtvkNmHAlS435LVfaF8Cg
   65cR4DAlJerXdJQBp/Fn80CzAHBfUCc1ZtS+RQ==
Public Key DNS Lookup

Building DNS Query for key1._domainkey.domain.com
Retrieved this publickey from DNS: v=DKIM1; h=sha256; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAqOCGxvSlScpKdcHBSm7Z9nYhy+LSRjVLNLJxx/4aj/jdJaH8F4c9Gzm61G/T6Z+tKrONfmdpY+Z1yfWtKxIYOYMm0YzyfWhOKHB5tB8xH7gOIa+vY7qiYAAplJ3yJJILffp/BEzk+c1JmRa2d1+jbRTPQ3ugpFacDMaewYq7w+4GyoAKkjnIdYh2iFeGzeOUOAItyJBjEWzBlhXS0vU3JtzwY5kjtuA/x+CEHECWQjbI/d3ZpRyXNNDLhkSHE9j2PHPmU2XkPGLWaLQFP/hU+xnvU3nmWjf85sFD2I3mxSf5Eg0JCCffUI8mbVzTDaGTlPCCIsmVi/tebozgbXDwKwIDAQAB
Validating Signature

result = fail
Details: body has been altered

zorinquen ★
(24.03.22 18:47:02 MSK) автор топика

Ответ на: комментарий от zorinquen 24.03.22 18:47:02 MSK

Как я и предполагал :))

«result = fail».

А в mail-tester.com если письмо прислать таки напишите результат ?

suffix ★★
(24.03.22 19:01:07 MSK)

Ответ на: комментарий от suffix 24.03.22 19:01:07 MSK

в смысле сколько баллов из скольки?

zorinquen ★
(24.03.22 19:09:28 MSK) автор топика

DKIM-запись в студию

bigbit ★★★★★
(24.03.22 19:43:50 MSK)

Ответ на: комментарий от bigbit 24.03.22 19:43:50 MSK

key1._domainkey  v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAqOCGxvSlScpKdcHBSm7Z9nYhy+LSRjVLNLJxx/4aj/jdJaH8F4c9Gzm61G/T6Z+tKrONfmdpY+Z1yfWtKxIYOYMm0YzyfWhOKHB5tB8xH7gOIa+vY7qiYAAplJ3yJJILffp/BEzk+c1JmRa2d1+jbRTPQ3ugpFacDMaewYq7w+4GyoAKkjnIdYh2iFeGzeOUOAItyJBjEWzBlhXS0vU3JtzwY5kjtuA/x+CEHECWQjbI/d3ZpRyXNNDLhkSHE9j2PHPmU2XkPGLWaLQFP/hU+xnvU3nmWjf85sFD2I3mxSf5Eg0JCCffUI8mbVzTDaGTlPCCIsmVi/tebozgbXDwKwIDAQAB

zorinquen ★
(24.03.22 19:52:42 MSK) автор топика

Ссылка

Ответ на: комментарий от zorinquen 24.03.22 19:09:28 MSK

нет, что про dkim пишет (думаю что валидация нормально проходит).

Там ниже чем баллы расшифровка

suffix ★★
(24.03.22 20:49:37 MSK)
Последнее исправление: suffix 24.03.22 20:50:18 MSK (всего исправлений: 1)

Ссылка

Ответ на: комментарий от zorinquen 24.03.22 14:39:03 MSK

А почему i=noreply@domain.com?
Это письмо действительно от noreply@domain.com?
Обычно ставят просто i=@domain.com, и подписывают так любые письма.

bigbit ★★★★★
(24.03.22 21:10:59 MSK)
Последнее исправление: bigbit 24.03.22 21:11:22 MSK (всего исправлений: 1)

Ответ на: комментарий от bigbit 24.03.22 21:10:59 MSK

да, действительно от noreply@domain.com

zorinquen ★
(24.03.22 21:32:23 MSK) автор топика

Ответ на: комментарий от zorinquen 24.03.22 21:32:23 MSK

Ну так что ? Напишете что пишет про dkim mail-tester.com когда Вы письмо ему отправляете ?

suffix ★★
(25.03.22 07:09:23 MSK)

Ответ на: комментарий от suffix 25.03.22 07:09:23 MSK

Ваша DKIM подпись действительна. Подпись DKIM Вашего письма:

	v=1;
	a=rsa-sha256;
	c=relaxed/relaxed;
	s=key1;
	d=domain.com;
	h=FROM:To:Subject:MIME-Version:Content-Type:Message-ID:Date;
	i=noreply@domain.com;
	bh=oNxYRkyNoeHI5cHQ0w50mhXtXRH7JlmvWndkGyTgzJA=;
	b=Lj1nHb/NtZHPUtnbKHRFdnNg3DyBeldTS/f5C8/P8DquIEZz6brI1azFITBGmu883ls7cd+RNsealM0qhim37X9mYV47lWsUv9cIPatNipdjyoyxULu7VLomUZ51pmdZUTIU4w7WbjEg6AAan7aZX9qDHzvm+Iv5k+PZ5yRLjdcwOu17pSLiVyuYyc08VdO25QMHQIgqTh8miXgNv8ZL6nFrcFxI9kHS+e27p4YPq4z9U0EwpU7noR4BByb9fEO2tRU4OztofiX58KkGV7PPH+1z0aoiq0ZjB5I4JqQ7ctVoQrGo4ZI7MkFF+BBKokyZrSBgBwuF5QrJkx6YPmHsKg==

и Ваш открытый ключ:

"v=DKIM1;
k=rsa;
p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAqOCGxvSlScpKdcHBSm7Z9nYhy+LSRjVLNLJxx/4aj/jdJaH8F4c9Gzm61G/T6Z+tKrONfmdpY+Z1yfWtKxIYOYMm0YzyfWhOKHB5tB8xH7gOIa+vY7qiYAAplJ3yJJILffp/BEzk+c1JmRa2d1+jbRTPQ3ugpFacDMaewYq7w+4GyoAKkjnIdYh2iFeGzeOUOAItyJBjEWzBlhXS0vU3JtzwY5kjtuA/x+CEHECWQjbI/d3ZpRyXNNDLhkSHE9j2PHPmU2XkPGLWaLQFP/hU+xnvU3nmWjf85sFD2I3mxSf5Eg0JCCffUI8mbVzTDaGTlPCCIsmVi/tebozgbXDwKwIDAQAB"

Длина ключа: 2048 бит

zorinquen ★
(25.03.22 16:46:53 MSK) автор топика

Ответ на: комментарий от zorinquen 25.03.22 16:46:53 MSK

Итак у меня для Вас две новости - как полагается - хорошая и плохая:

Валидация dkim у Вас будет проходить в gmail, yahoo.mail, mail.ru, yandex.почта и во всех других сервисах которые настраиваются по современным нормальным правилам.
Валидация dkim у Вас НЕ БУДЕТ проходить в outlook и других сервисах где настройки велись отмороженными на всю голову параноиками.

На 100% уверен что письма с которыми возникла проблема Вы отправляли через какой-нибудь модуль в CMS или какой-либо сервис.

Попробуйте точно такое же письмо отправить тупо через клиента (например thunderbird) к МТА и валидация dkim будет проходить везде и в outlook и в dkimvalidator.com и т.д.

Что делать ?

Да забить если у Вас маленький процент получателей писем с outlook ибо даже им если остальное всё нормально письма доходить будут несмотря на «невалидный» dkim.

Починить «отправилку» писем вашей CMS или сервиса будет сложнее (да и не ошибка это - просто прихоть параноиков из майкрософта такой dkim не принимает).

suffix ★★
(25.03.22 17:45:21 MSK)

Ответ на: комментарий от suffix 25.03.22 17:45:21 MSK

спасибки за позитивную новость, скорее всего в этом и причина…

zorinquen ★
(25.03.22 21:45:25 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	SSH KEY менеджмент

Admin

Отключить обновления Debian

→

Похожие темы