Um das erfolgreiche Signieren von Emails mit DKIM-Plugin zu testen oder um Fehler zu finden, die folgenden Schritte ausführen:
Check amavisd
amavisd-new showkeys
zeigt den Speicherort der Private-Keys und die Public-Keys für alle in amavis definierten Domains an
amavisd-new showkeys example.com
zeigt den Speicherort des Private-Key und Public-Key für die Domain example.com an
amavisd-new testkeys
verifiziert den im DNS eingetragenen Public-Key gegen den lokal hinterlegten Private-Key
amavisd-new testkeys example.com
verifiziert den im DNS eingetragenen Public-Key für die Domain example.com gegen den lokal hinterlegten Private-Key
Ist das Ergebnis nicht “pass”, dann liegt das entweder am nicht hinterlegten Private-Key oder am fehlenden DNS-Eintrag.
Bei einer Key-Stärke > 1024 Bit muss der verwendete DNS-Server die Länge des TXT-Records unterstützten. Wird der DNS über ISPConfig gesteuert, muss evtl. die Datenbank dbispconfig noch angepasst werden:
ALTER TABLE `dns_rr` CHANGE `data` `data` TEXT NOT NULL DEFAULT '';
Check DNS
Die DNS werden entsprechend von /etc/resolv.conf eingetragen. Wird ein eigener DNS verwendet, sollte dieser immer an erste Stelle stehen, damit der eigene (lokale) DNS verwendet werden kann.
Der DNS-Eintrag lässt sich wie folgt abfragen:
dig default._domainkey.example.com TXT
Mögliche Ausgabe:
;; ANSWER SECTION:
default._domainkey.akxnet.de. 3600 IN TXT "v=DKIM1\; g=*\; k=rsa\;
p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDiiD2rNAjxABGB/Hn628aw4Pxviiav83Wrwg4xeXVuZinDecI4K985oSibZt/cnORLLf7MyZTLzNBmtiFvM//XeVCYW/E9pcY8UHoWiUSd/sbucqLSWhu52KT3aeEOkX5LZdGSq7R1jOso3ID6hbp/hVbHgvM7J7xqN18vBF/3HQIDAQAB"
Um explizit einen eigenen DNS abzufragen:
dig @ns.example.com default._domainkey.example.com TXT
oder
dig @127.0.0.1 default._domainkey.example.com TXT
ACHTUNG: Wird kein eigener DNS abgefragt, so kann es bis zu 48 Stunden dauern, bis die Änderung verfügbar ist. Aufgrund der dezentralen Struktur sind diese nicht zwangsläufig sofort verfügbar.
Funktioniert die Abfrage über localhost / 127.0.01 nicht, lauscht der DNS nicht auf diese Adresse. Zum Überprüfen:
netstat -nap | grep \:53
Entscheidend bei Bind ist listen-on in der named.conf. Dort werden entweder alle IPv4-Adressen definiert auf die Bind regaieren soll oder der Eintrag wird auskommentiert, so dass Bind auf alle IPv4 reagiert. Für IPv6 ist das entsprechend listen-on-v6 { any; };.
DKIM-Key im DNS testen
Solange der public-Key nicht über den DNS abgefragt werden kann, lassen sich die Signaturen nicht überprüfen. Die Aktualisierung des DNS (neuer Key oder geändertet Key) kann bis zu 48h dauern. Wird ein eigener DNS verwendet, aktualisiert ISPConfig die Einträge. Bei einem externen DNS kann aber immer mal ein Fehler passieren, wenn der angezeigte Rekord eingefügt wird.
dkimcore.org
Signierung der Mails testen
per Email an:
check-auth2@verifier.port25.com
oder
mailtest@unlocktheinbox.com
Web-Services:
www.appmaildev.com
www.brandonchecketts.com
Debuggen des Plugins
www.faqforge.com