3 votes

dev-segal avatar

DKIM est validé, mais mxtoolbox rapporte que "DKIM-Signature non vérifiée" ?

Demandé el 6 de Mars, 2020
Quand la question a-t-elle été
2071 affichage
Nombre de visites la question a
2 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

J'essaie de comprendre pourquoi un grand nombre de courriels provenant de l'un de mes sites ne sont pas transmis (en particulier sky.com et gmail.com).

Avec mon serveur, nous avons un outil qui génère les enregistrements DNS pour nous :

RECORD            TTL         TYPE      VALUE
------            ---         ----      -----
_domainkey        3600   IN   TXT      "t=y; o=~;"
mail._domainkey   3600   IN   TXT      "k=rsa; p=xxxx"

(xxx est la clé complète)

C'est ce que j'ai dans mon Enregistrement DNS TXT les dossiers :

enter image description here

mail-tester.com revient avec ceci (qui a l'air bien) ;

enter image description here

...pourtant mxtoolbox revient avec :

enter image description here

enter image description here

Ce qui est frustrant, c'est que si je vérifie l'e-mail d'origine sur mon propre compte gmail.com, il revient comme valide par DKIM :

enter image description here

Quel est le DKIM-Signature Not Verified erreur me disant ? Je suis à bout de nerfs en essayant d'améliorer la délivrabilité (j'ai essayé de faire des tests via GlockApps, mais ils reviennent toujours avec de nombreux rejets pour une raison quelconque). Il doit me manquer quelque chose.

UPDATE 2 : Malheureusement, MXToolbox considère toujours que c'est un problème. Tous les autres outils disent que tout va bien, je me demande donc si ce n'est pas un faux positif. En utilisant GlockApps, je peux maintenant voir que c'est seulement le contenu de Gmail qui est rejeté par leurs tests :

enter image description here

J'ai lu des articles sur le sujet et il semble que nous nous soyons tirés une balle dans le pied en informant les gens sur la réglementation GDPR qui est sortie il y a quelques temps. Nous avons envoyé un e-mail à tout le monde (avant qu'il ne soit publié), pour leur faire savoir que nous ne pourrions pas les contacter s'ils ne nous en donnaient pas la permission. Peut-être que les filtres de gmail l'ont considéré comme un spam (comme beaucoup de nos utilisateurs sont sur gmail), et nous ont punis pour cela. Quelle ironie ! Il semble donc que le seul moyen de contourner ce problème soit de demander aux gens de vérifier leur boîte de SPAM (et de la marquer comme "non spam").

Demandé el 6 de Mars, 2020 par dev-segal

Réponses

Trop de publicités?

2voto

berto77 avatar
berto77 Points 373

Eh bien, pour commencer : Votre enregistrement TXT est faux.

Si vous envoyez du courrier depuis le domaine example.com avec une clé nommée mykey (alias le sélecteur), alors la syntaxe est :

mykey._domainkey.example.com     IN TXT    "v=DKIM1; p=xxx"

Vous pouvez également ajouter t=s .

Lorsque vous êtes sûr que la signature et la vérification des clés fonctionnent, je vous recommande d'ajouter une option DMARC y ADSP car il informe le serveur de messagerie récepteur de ce qu'il doit faire, au cas où il recevrait un courrier non signé ou utilisant une mauvaise clé.

La syntaxe est assez simple (basée sur les paramètres de mon propre serveur de messagerie) :

_adsp._domainkey.example.com  IN TXT  "dkim=all"
_dmarc.example.com            IN TXT  "v=DMAR1; p=quarantine;  sp=reject; pct=100; adkim=s; aspf=s; rua=mailto:mail@example.com; ruf=mailto:mail@example.com; rf=afrf; ri=86400; fo=1

UPDATE

Si vous envoyez un courrier de test, par exemple à un compte Gmail, il existe un moyen simple de vérifier si DKIM et DMARC sont bien en place.

J'ai activé DKIM pour mon propre domaine molgaard.eu donc, entre autres, un courriel de moi à Gmail contiendra ces en-têtes :

Authentication-Results: mx.google.com;
       dkim=pass header.i=@molgaard.eu header.s=mar2018 header.b=db8+ExPV;
       spf=pass (google.com: domain of ... as permitted sender) smtp.mailfrom=...;
       dmarc=pass (p=REJECT sp=REJECT dis=NONE) header.from=molgaard.eu

<SNIP>

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/simple; d=molgaard.eu; 
h=content-language:x-mailer:content-type:content-type:mime-version
:message-id:date:date:subject:subject:from:from; s=mar2018; t=1583565649; 
x=1585380050; bh=...; b=...

Le sélecteur pour mes mails s'appelle mar2018, puisque c'est le mois et l'année où j'ai fait la clé :-)

Et comme vous pouvez le voir dans les résultats d'authentification, DKIM et DMARC passent (et SPF aussi), ce qui signifie que les mails provenant de mon serveur devraient atterrir dans la boîte de réception des gens - au lieu d'un dossier de spam :-).

Et en fait, ma politique est un peu plus stricte, puisque j'ai déclaré dans mon enregistrement DMARC que tout courrier non signé ou signé avec une mauvaise clé doit être jeté au lieu d'atterrir dans un dossier quelconque chez le destinataire. :-)

Répondu el 6 de Mars, 2020 par berto77 (373 Points )

1voto

Zonder avatar
Zonder Points 74

Ne faites pas confiance à MXtoolbox pour cette vérification DKIM particulière. J'ai personnellement vu plusieurs fois de tels faux positifs dans MX toolbox.

  1. rétablir la politique DMARC sur "aucun" pendant un certain temps
  2. utiliser les Glock Apps pour améliorer le contenu des messages afin d'échapper aux filtres anti-spam de Gmail
  3. utilisez l'un des systèmes de traitement des rapports DMARC (EasyDMARC, DMARC Analyzer, Dmarcian) pour identifier tous les sous-systèmes légitimes et les rendre conformes à la norme DMARC, et seulement après cela, envisagez de faire passer la politique de domaine à "rejet".
Répondu el 8 de Mars, 2020 par Zonder (74 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X