DKIM im Kontext von NoSPAM-Proxy und Office 365

[bitvision]

Hallo Forum,

wir haben aktuell ein DKIM Problem im Kontext eines NoSPAM-Proxy (Cloud) Setups im Zusammenspiel mit Office 365.

Unter Office 365 wurde DKIM für die entsprechende Domain aktiviert (vgl. https://www.msxfaq.de/cloud/exchangeonline/dkim_mit_office_365.htm)

Entsprechende CName Einträge wurden gesetzt und geprüft.

d=xxxxxxxx.onmicrosoft.com; s=selector1-xxxxxxxx-onmicrosoft-com;

selector1._domainkey CNAME selector1-xxxxxxxx-onmicrosoft-com
selector2._domainkey CNAME selector1-xxxxxxxx-onmicrosoft-com

Der NoSPAM Proxy scheint jedoch diese Einträge zu "eliminieren". Jedenfalls erfolgt keine Signierung mit den o.g. DKIM Einträgen.

In einer beispielhaften Mail finden wir:

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=xxxxxxxx; s=selector1;

Deaktvieren wir nun DKIM in der dazugehörigen Office 365 Domain, so finden wir in der Mail wiederrum,

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
d=xxxxxxxx.onmicrosoft.com; s=selector1-xxxxxxxx-onmicrosoft-com;

was aus meiner Sicht korrekt wäre.


Weitere Beobachtung:
Bei der Überprüfung von

 dkim1e._domainkey CNAME dkim1e.xxxxxxxx-de.cloud.nospamproxy.com

mit der mxtoolbox, werden für alle Einträge ebenfalls falsche Signaturen angezeigt.

Hat einer eine Idee, wo der Fehler sein könnte ?

Wir wären für jede Hilfe Dankbar

Beste Grüße,
Claus

 

[Sören]

Hallo Forum,

wir haben aktuell ein DKIM Problem im Kontext eines NoSPAM-Proxy (Cloud) Setups im Zusammenspiel mit Office 365.

Unter Office 365 wurde DKIM für die entsprechende Domain aktiviert (vgl. https://www.msxfaq.de/cloud/exchangeonline/dkim_mit_office_365.htm)

.....

Beste Grüße,
Claus

Hallo Claus,

wir haben ja gerade telefoniert und ich hoffe ich konnte etwas Licht ins Dunkel bringen, ich fasse das aber nochmal zusammen.

Routing:

EXO -> NSP Cloud -> Internet

Das Problem ist, dass MS vor uns die Mails noch per DKIM signiert aber nicht der letzte HOP in der Kette vor dem Internet ist, denn das ist die NSP Cloud. Der Kunde setzt aber Signatur und Verschlüsselung über die NSP Cloud ein. Bringt also MS eine DKIM Signatur auf und wir verändern dann die Mail, geht die MS DKIM Signatur zwangsläufig kaputt.

Wir haben das jetzt so abgesprochen, dass das DKIM signing im EXO deaktiviert wird. Komischerweise signiert MS dann noch für onmicrosoft was ebenfalls deaktiviert werden muss!

Beste Grüße
Sören

 

[Sören]

Da es die Rückfrage über den Support gab: ich hab mir bei meinem Text schon was gedacht

Es gibt leider genug Mailserver da draußen, die nur den ersten DKIM Key validieren den sie im Header finden. Wenn dies der onmicrosoft.com key ist, geht die Mail zurück, da die Mail durch uns in der Regel verändert wird und damit Body Hash der DKIM Signatur bricht.

Wenn ihr natürlich wirklich die Transportdomain nutzt, also ***.onmicrosoft.com für irgendwelche Prozesse, dann könnt ihr ja auf diesen Mails den Key aktiv lassen.... das lässt sich ja alles easy per exo ps einrichten

 

[JanJäschke]

Ich möchte hier noch ergänzen, dass die Beobachtung vollkommen richtig ist:
NoSpamProxy entfernt mit der Aktion "Verberge Topologie des Unternehmens" auch intern gesetzte DKIM Header.
Das Warum hat Sören schon beschrieben, in aller Regel brechen wir die DKIM Signaturen und da NoSpamProxy noch keine ARC Signaturen aufträgt bemängeln dann viele Systeme, dass da eine kaputte DKIM Signatur an der E-Mail ist. Selbst O365 kommt damit nicht klar, daher haben wir nach Analyse mit einem Kunden die Aktion darum erweitert derzeit die intern Signaturen zu entfernen.