hallo allerseits,
ist sicher nur ein anfängerfehler, aber ich komme einfach nicht drauf.
habe gerade nach dem nsp-video auf youtube von 2019 DKIM im NSP (aktuell v15.0.0) eingerichtet.
bei domainfactory habe ich auch die txt-einträge mit den keye._domainkey.<TLD> sowie keyr._domainkey.<TLD> nebst den angaben aus NSP zum schlüssel entsprechend videoanleitung angelegt.
verifikation bei mxtoolbox für die SPF- und DKIM-einträge (und später auch für DMARC) erfolgreich - alles grün.
ich habe auch eine testmail an ping@mxtoolbox.com gesandt - dort stand dann aber zu lesen, daß mit den beiden DKIM Signatures (e und r) etwas nicht stimme:
bei der ellyptical (e) dkim signature wäre der wert des tags "a" nicht korrekt: "Must contain one of these values:rsa-sha1" im tag "a" steht: "ed25519-sha256"
für mich aufs konto von mxtoolbox leicht verwunderlich, denn für ellyptical sollte nicht "rsa-sha1" dort stehen, oder?
bei der rsa dkim signature gibt es keine direkte errormessage; das feld ist einfach rötlich unterlegt.
die inhalte des dort angezeigten tags sehen (gekürzt und geschwärzt (kursiv)) so aus:
v=1; c=relaxed/relaxed; d=<TLD> ; s=keyr; t=1758217080; bh=xcafXB4vXGSi+obTc8KRbHg3zuZN+b8dzM1vHA5Vjd0=; h= Subject:Subject:From:From
ateate:ReplyTo:ReplyTo:Cc:Cc:Message-Id:Message-Id; a=rsa-sha256; b= OA+7OxRet3i2amqy9At0Pt9jM36/8zXfOlFwC[...]CBJVaP7SXpdl342pJKajosc6AKuSHRttuIaJ1HdIJOxu2/VczGCWyqxKCnlOfPgkl/K8UZaVXOJRbBw4HI/B7zaOgwi0Ro=
all in all ist für den mxtoolbox-prüfschritt "DKIM Signature Verified" das result "Signature Did Not Verify".
zudem fällt auf, daß die intranetrolle des NSP nun bereits auf der startseite die meldungen anzeigt, daß der DNS-Eintrag keye._domainkey.<TLD> sowie keyr._domainkey.<TLD> fehlen würde - "Bitte erstellen Sie diesen DNS-Eintrag, um den Vorfall zu lösen. [...]"
vielleicht noch erwähnenswert ist, daß unsere installation des NSP alle rollen auf einer VM vereint, welche in unserer DMZ steht. alle laut hilfetexten freizugebenden ports sind in der firewall (eine Palo Alto) freigegeben. der NSP liefert alle ausgehenden emails an unseren provider domainfactory unter zuhilfenahme eines authorisierten sendekontos. abruf aller emails erfolgt per NSP-pop-konnektor von den emailkonten von domainfactory.
da die von mxtoolbox bekrittelten DKIM-signaturen anscheinend vom NSP erzeugt wurden, wende ich mich hiermit an euch und bin wirklich sehr gespannt, ob sich das phänomen auflösen lässt.
dankeschön für die hilfe und
beste grüße,
richard rönitz
ist sicher nur ein anfängerfehler, aber ich komme einfach nicht drauf.
habe gerade nach dem nsp-video auf youtube von 2019 DKIM im NSP (aktuell v15.0.0) eingerichtet.
bei domainfactory habe ich auch die txt-einträge mit den keye._domainkey.<TLD> sowie keyr._domainkey.<TLD> nebst den angaben aus NSP zum schlüssel entsprechend videoanleitung angelegt.
verifikation bei mxtoolbox für die SPF- und DKIM-einträge (und später auch für DMARC) erfolgreich - alles grün.
ich habe auch eine testmail an ping@mxtoolbox.com gesandt - dort stand dann aber zu lesen, daß mit den beiden DKIM Signatures (e und r) etwas nicht stimme:
bei der ellyptical (e) dkim signature wäre der wert des tags "a" nicht korrekt: "Must contain one of these values:rsa-sha1" im tag "a" steht: "ed25519-sha256"
für mich aufs konto von mxtoolbox leicht verwunderlich, denn für ellyptical sollte nicht "rsa-sha1" dort stehen, oder?
bei der rsa dkim signature gibt es keine direkte errormessage; das feld ist einfach rötlich unterlegt.
die inhalte des dort angezeigten tags sehen (gekürzt und geschwärzt (kursiv)) so aus:
v=1; c=relaxed/relaxed; d=<TLD> ; s=keyr; t=1758217080; bh=xcafXB4vXGSi+obTc8KRbHg3zuZN+b8dzM1vHA5Vjd0=; h= Subject:Subject:From:From
ateate:ReplyTo:ReplyTo:Cc:Cc:Message-Id:Message-Id; a=rsa-sha256; b= OA+7OxRet3i2amqy9At0Pt9jM36/8zXfOlFwC[...]CBJVaP7SXpdl342pJKajosc6AKuSHRttuIaJ1HdIJOxu2/VczGCWyqxKCnlOfPgkl/K8UZaVXOJRbBw4HI/B7zaOgwi0Ro=all in all ist für den mxtoolbox-prüfschritt "DKIM Signature Verified" das result "Signature Did Not Verify".
zudem fällt auf, daß die intranetrolle des NSP nun bereits auf der startseite die meldungen anzeigt, daß der DNS-Eintrag keye._domainkey.<TLD> sowie keyr._domainkey.<TLD> fehlen würde - "Bitte erstellen Sie diesen DNS-Eintrag, um den Vorfall zu lösen. [...]"
vielleicht noch erwähnenswert ist, daß unsere installation des NSP alle rollen auf einer VM vereint, welche in unserer DMZ steht. alle laut hilfetexten freizugebenden ports sind in der firewall (eine Palo Alto) freigegeben. der NSP liefert alle ausgehenden emails an unseren provider domainfactory unter zuhilfenahme eines authorisierten sendekontos. abruf aller emails erfolgt per NSP-pop-konnektor von den emailkonten von domainfactory.
da die von mxtoolbox bekrittelten DKIM-signaturen anscheinend vom NSP erzeugt wurden, wende ich mich hiermit an euch und bin wirklich sehr gespannt, ob sich das phänomen auflösen lässt.
dankeschön für die hilfe und
beste grüße,
richard rönitz
