Benutzen von DKIM in ISPconfig 3.1

fuxifux

Member
wenn ich wüsste wie das geht wäre das auch viel einfacher.
Die Fehlermeldung kommt, wenn ich smtp_bind_address festlege - und Mails gehen nicht mehr raus.
Meine main.cf sieht so aus:
Code:
# See /usr/share/postfix/main.cf.dist for a commented, more complete version


#Eingetragen für Sicherheit
###########################
smtpd_banner = $myhostname ESMTP
biff = no

# appending .domain is the MUA's job.
append_dot_mydomain = no

# Uncomment the next line to generate "delayed mail" warnings
#delay_warning_time = 4h

alias_maps = hash:/etc/aliases, hash:/var/lib/mailman/data/aliases
alias_database = hash:/etc/aliases, hash:/var/lib/mailman/data/aliases
mydestination = server.sportwebspace.at, localhost, localhost.localdomain
relayhost =
mynetworks = 127.0.0.0/8
#mynetworks = 127.0.0.0/8 [::1]/128
inet_interfaces = all
recipient_delimiter = +

#Damit wird nur von dieser IP gesendet!!
smtp_bind_address = IP.IP.IP.IP

readme_directory = /usr/share/doc/postfix
html_directory = /usr/share/doc/postfix/html
myorigin = /etc/mailname
mailbox_command = procmail -a "$EXTENSION"
mailbox_size_limit = 0
inet_protocols = all
myhostname = server.sportwebspace.at
virtual_alias_domains =
virtual_alias_maps = hash:/var/lib/mailman/data/virtual-mailman, proxy:mysql:/etc/postfix/mysql-virtual_forwardings.cf, proxy:mysql:/etc/postfix/mysql-virtual_email2email.cf
virtual_mailbox_domains = proxy:mysql:/etc/postfix/mysql-virtual_domains.cf
virtual_mailbox_maps = proxy:mysql:/etc/postfix/mysql-virtual_mailboxes.cf
virtual_mailbox_base = /var/vmail
virtual_uid_maps = mysql:/etc/postfix/mysql-virtual_uids.cf
virtual_gid_maps = mysql:/etc/postfix/mysql-virtual_gids.cf


smtpd_sasl_auth_enable = yes
broken_sasl_auth_clients = yes
smtpd_sasl_authenticated_header = yes


#Eingetragen für weniger SPAM
#############################
smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination, check_recipient_access mysql:/etc/postfix/mysql-virtual_recipient.cf, reject_rbl_client ix.dnsbl.manitu.net, reject_rbl_client sbl.spamhaus.org, reject_rbl_client cbl.abuseat.org, reject_rbl_client dul.dnsbl.sorbs.net, reject_rbl_client bl.spamcop.net, reject_rbl_client psbl.surriel.com, reject_rbl_client noptr.spamrats.com

smtpd_use_tls = yes
smtpd_tls_security_level = may
smtpd_tls_cert_file = /etc/postfix/smtpd.cert
smtpd_tls_key_file = /etc/postfix/smtpd.key
smtpd_tls_CAfile = /usr/local/ispconfig/interface/ssl/rapidssl.chain.server.crt

#Eingetragen für sichere SSL-Methoden
#####################################
smtpd_tls_exclude_ciphers = RC4, aNULL
smtp_tls_exclude_ciphers = RC4, aNULL
smtpd_tls_ciphers = high
smtp_tls_security_level = may
smtpd_tls_protocols = !SSLv2,!SSLv3


transport_maps = hash:/var/lib/mailman/data/transport-mailman, proxy:mysql:/etc/postfix/mysql-virtual_transports.cf
relay_domains = mysql:/etc/postfix/mysql-virtual_relaydomains.cf
relay_recipient_maps = mysql:/etc/postfix/mysql-virtual_relayrecipientmaps.cf

proxy_read_maps = $local_recipient_maps $mydestination $virtual_alias_maps $virtual_alias_domains $sender_bcc_maps $virtual_mailbox_maps $virtual_mailbox_domains $relay_recipient_maps $relay_domains $canonical_maps $sender_canonical_maps $recipient_canonical_maps $relocated_maps $transport_maps $mynetworks $smtpd_sender_login_maps
smtpd_sender_restrictions = check_sender_access regexp:/etc/postfix/tag_as_originating.re , permit_mynetworks, permit_sasl_authenticated, check_sender_access mysql:/etc/postfix/mysql-virtual_sender.cf, check_sender_access regexp:/etc/postfix/tag_as_foreign.re
smtpd_client_restrictions = check_client_access mysql:/etc/postfix/mysql-virtual_client.cf
smtpd_client_message_rate_limit = 100
maildrop_destination_concurrency_limit = 1
maildrop_destination_recipient_limit = 1
virtual_transport = dovecot
header_checks = regexp:/etc/postfix/header_checks
mime_header_checks = regexp:/etc/postfix/mime_header_checks
nested_header_checks = regexp:/etc/postfix/nested_header_checks
body_checks = regexp:/etc/postfix/body_checks
owner_request_special = no
dovecot_destination_recipient_limit = 1
smtpd_sasl_type = dovecot
smtpd_sasl_path = private/auth
content_filter = amavis:[127.0.0.1]:10024
receive_override_options = no_address_mappings
message_size_limit = 0

smtpd_tls_dh1024_param_file = /etc/postfix/dh_1024.pem
smtpd_tls_dh512_param_file = /etc/postfix/dh_512.pem
smtpd_tls_eecdh_grade = strong
tls_preempt_cipherlist = yes
smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3
smtp_tls_protocols = !SSLv2,!SSLv3
smtpd_relay_restrictions = permit_mynetworks, permit_sasl_authenticated, check_recipient_access mysql:/etc/postfix/mysql-virtual_recipient.cf, reject_unauth_destination, reject_rbl_client ix.dnsbl.manitu.net, reject_rbl_client sbl.spamhaus.org, reject_rbl_client cbl.abuseat.org, reject_rbl_client dul.dnsbl.sorbs.net, reject_rbl_client bl.spamcop.net, reject_rbl_client psbl.surriel.com, reject_rbl_client noptr.spamrats.com
sender_bcc_maps = proxy:mysql:/etc/postfix/mysql-virtual_outgoing_bcc.cf
smtpd_restriction_classes = greylisting
greylisting = check_policy_service inet:127.0.0.1:10023
smtpd_sender_login_maps = proxy:mysql:/etc/postfix/mysql-virtual_sender_login_maps.cf
smtpd_helo_required = yes
smtpd_helo_restrictions = permit_sasl_authenticated, permit_mynetworks, check_helo_access regexp:/etc/postfix/helo_access, reject_invalid_hostname, reject_non_fqdn_hostname, check_helo_access regexp:/etc/postfix/blacklist_helo
 
@mrairbrush :
Das Problem liegt ja wie oben in der Fehlermeldung steht an dem "sehr niedrigen Ansehen" der sendenden IP-Adresse.
Hast du die IP gegen Blacklists gecheckt:
http://mxtoolbox.com/blacklists.aspx

Wenn man dem Link in der Meldung folgt, kommt man zu den Regeln, die Gmail gerne hätte.
Wenn die Regeln von Gmail jetzt eingehalten werden(und vorher nicht) kann es auch einfach nur dauern.

Zitat aus dem Troubleshooting von Gmail(ich bin nur dem Link gefolgt):
Code:
Wir freuen uns, dass Sie das Problem finden und beheben konnten.
Beachten Sie bitte, dass es eventuell einige Zeit dauern wird, bis die Reputation Ihrer Domain wiederhergestellt ist,
und dass es daher noch für einige Zeit zu Problemen bei der Zustellung von E-Mails an Gmail-Nutzer kommen kann.
Dieses Problem wird sich von selbst lösen, wenn Sie konsequent die Richtlinien in unseren Hinweisen für Bulk-Absender befolgen.
Da kommt alles grün und ok.
 

ug24

New Member
Hallo,

Ich habe ispconfig3 in der aktuellen Version und möchte gerne DKIM aktivieren.
Ich nutze jedoch einen externen DNS Nameserver. Ist dies ein Problem?
 

Till

Administrator
Klingt fast so als ob da was mit dem dkim dns record oder dem dns spf record nicht stimmt. Es gibt ja diverse online dkim und dns tester im netz, versuch mal damit Dein setup zu testen.
 

ug24

New Member
Hi
Danke für die Rückmeldung. Bei mxtoolbox steht alles auf grün.
Auch der Test bei dem man eine E-Mail hingewendet hat zeigte keine Auffälligkeiten. Wenn ich eine Mail an mein Google Konto sende steht bei den Tests im Header überall pass...
 

ug24

New Member
Ja bekomme ich:
host mx4.mail.icloud.com[xx.xx.xx.xx] said: 550 5.7.0
Blocked - see
proofpoint.com/dnsbl-lookup.cgi?ip=Xx.xx.xx.xx (in reply
to MAIL FROM command)

Bei dem proofpoint steht meine Server IP. Sende ich allerdings eine Mail von gleichen Server mit der gleichen IP jedoch von einer Domain auf der kein dkim läuft wird die E-Mail problemlos zugestellt.sehr merkwürdig.
 

florian030

Well-Known Member
Wenn Du DKIM debuiggen willst: https://blog.schaal-24.de/dkim/debug-2/ und die IPs durch X zu ersetzen ist extrem hilfreich.
Wenn Du eine Mail vom gleichen Server und einer anderen Domain schickst, landet die dann auch bei mx4?
Hast Du mal Deine SPF und MX-Records durchgesehen?

Ich kenne kein Setup, bei dem eine Mail wegen DKIM abgelehnt wird. Es sei denn, Du hast das per DMARC so konfiguriert und der Empfänger prüft das tatsächlich.
 

ug24

New Member
Hallo Florian,

danke für deine Antwort.
Bei Apple wurde eine Mail ohne DKIM / DMAC auf unterschiedlichen Servern bei Apple zugestellt und mit DKIM / DMAC erfolgt auch die Ablehnung von unterschiedlichen Servern. Ich hatte beispielsweise gestern vom MX5 eine Zustellung (anderer Domain, gleicher Server) und heute eine Ablehnung von der dkim domain.

Hier mein DMAC Record:
Code:
_DMAC in 3600 TXT v=DMARC1; p=none; sp=none; rf=afrf; pct=100; ri=86400
Hier der SPF:
Code:
v=spf1 mx ip4:xxx.xxx.xxx.xx ip6:xxxx:xxxx:xxxx:xxx::x include:spf.protection.outlook.com ?all
Und hier noch der DKIM (gekürzt):
Code:
default._domainkey in 3600 TXT v=DKIM1; t=s; p=M...

Und das Testergebnis von Port 25:
Code:
==========================================================
Summary of Results
==========================================================
SPF check:          pass
DKIM check:         pass
SpamAssassin check: ham

==========================================================
Details:
==========================================================

HELO hostname:  srv.domain.tld
Source IP:      xxx.xxx.xxx.xx
mail-from:      email@domain.tld

----------------------------------------------------------
SPF check details:
----------------------------------------------------------
Result:         pass
ID(s) verified: smtp.mailfrom=email@domain.tld

DNS record(s):
    domain.tld. 86400 IN TXT "v=spf1 mx ip4:xxx.xxx.xxx.xx ip6:xxxx:xxxx:xxxx:xxx::x include:spf.protection.outlook.com ?all"
    domain.tld. 86400 IN MX 10 domain.tld.
   domain.tld. 86400 IN A xxx.xxx.xxx.xx


----------------------------------------------------------
DKIM check details:
----------------------------------------------------------
Result:         pass (matches From: email@domain.tld)
ID(s) verified: header.d=domain.tld

----------------------------------------------------------
SpamAssassin check details:
----------------------------------------------------------
SpamAssassin v3.4.1 (2015-04-28)

Result:         ham (1.2 points, 5.0 required)

 pts rule name              description
---- ---------------------- --------------------------------------------------
 0.0 NO_DNS_FOR_FROM        DNS: Envelope sender has no MX or A DNS records
 0.0 T_SPF_TEMPERROR        SPF: test of record failed (temperror)
 0.0 T_SPF_HELO_TEMPERROR   SPF: test of HELO record failed (temperror)
-1.9 BAYES_00               BODY: Bayes spam probability is 0 to 1%
                            [score: 0.0010]
 0.0 HTML_MESSAGE           BODY: HTML included in message
 0.7 MIME_HTML_ONLY         BODY: Message only has text/html MIME parts
-0.1 DKIM_VALID_AU          Message has a valid DKIM or DK signature from author's
                            domain
 0.1 DKIM_SIGNED            Message has a DKIM or DK signature, not necessarily valid
-0.1 DKIM_VALID             Message has at least one valid DKIM or DK signature
 0.0 TVD_SPACE_RATIO        No description available.
 2.5 PHP_ORIG_SCRIPT        Sent by bot & other signs
 
Zuletzt bearbeitet:

florian030

Well-Known Member
Zunächst sind das keine DMAC Records, sondern DMARC - ist das nur ein Teppfuhler?
Den SPF-Record verstehe ich nicht. Wozu brauchst Du da noch IP-Adressen? Und der MX für die "nicht gehende Domain" zeigt auch wirklich auf dein Namen Deines Servers?
 

ug24

New Member
Hallo Florian,
nochmal vielen Dank für deine Antwort.
Das war ein Tippfehler. Im Nameserver steht es natürlich richtig ;-)
Der SPF Record ist mit einem Wizard erstellt worden, er zeigt auf meinen eigenen Server sowie auf einen Exchange Server, der extern Betrieben wird. Bevor die IPs nicht da standen hatte Googlemail immer ein FAIL angezeigt, wenn die Mail über IPv6 versendet wude.

Der MX Zeigt auf meinen Server.

Wenn ich mir selbst eine eM ail an eine Googlemail Adresse sende, sieht der Header wie folgt aus:
PASS.PNG
 

florian030

Well-Known Member
Ich bin mir ziemlich sicher, dass google den PTR zu Deiner IPv6 nicht wollte. Grundsätzlich könnte Du das permanente anonymisieren der Daten überdenken - so wird das nämlich ncihts.
Und wenn nur ein Anbieter Deine Mails ableht, würde ich da einfach mal nachfragen.
 

Werbung

Top