Debug


Um das erfolgreiche Signieren von Emails mit DKIM-Plugin zu testen oder um Fehler zu finden, die folgenden Schritte ausführen:

Check amavisd

amavisd-new showkeys

zeigt den Speicherort der Private-Keys und die Public-Keys für alle in amavis definierten Domains an

amavisd-new showkeys example.com

zeigt den Speicherort des Private-Key und Public-Key für die Domain example.com an

amavisd-new testkeys

verifiziert den im DNS eingetragenen Public-Key gegen den lokal hinterlegten Private-Key

amavisd-new testkeys example.com

verifiziert den im DNS eingetragenen Public-Key für die Domain example.com gegen den lokal hinterlegten Private-Key

Ist das Ergebnis nicht “pass”, dann liegt das entweder am nicht hinterlegten Private-Key oder am fehlenden DNS-Eintrag.
Bei einer Key-Stärke > 1024 Bit muss der verwendete DNS-Server die Länge des TXT-Records unterstützten. Wird der DNS über ISPConfig gesteuert, muss evtl. die Datenbank dbispconfig noch angepasst werden:
ALTER TABLE `dns_rr` CHANGE `data` `data` TEXT NOT NULL DEFAULT '';

Check DNS
Die DNS werden entsprechend von /etc/resolv.conf eingetragen. Wird ein eigener DNS verwendet, sollte dieser immer an erste Stelle stehen, damit der eigene (lokale) DNS verwendet werden kann.

Der DNS-Eintrag lässt sich wie folgt abfragen:
dig default._domainkey.example.com TXT

Mögliche Ausgabe:
;; ANSWER SECTION:
default._domainkey.akxnet.de. 3600 IN TXT "v=DKIM1\; g=*\; k=rsa\;
p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDiiD2rNAjxABGB/Hn628aw4Pxviiav83Wrwg4xeXVuZinDecI4K985oSibZt/cnORLLf7MyZTLzNBmtiFvM//XeVCYW/E9pcY8UHoWiUSd/sbucqLSWhu52KT3aeEOkX5LZdGSq7R1jOso3ID6hbp/hVbHgvM7J7xqN18vBF/3HQIDAQAB"

Um explizit einen eigenen DNS abzufragen:
dig @ns.example.com default._domainkey.example.com TXT
oder
dig @127.0.0.1 default._domainkey.example.com TXT

ACHTUNG: Wird kein eigener DNS abgefragt, so kann es bis zu 48 Stunden dauern, bis die Änderung verfügbar ist. Aufgrund der dezentralen Struktur sind diese nicht zwangsläufig sofort verfügbar.

Funktioniert die Abfrage über localhost / 127.0.01 nicht, lauscht der DNS nicht auf diese Adresse. Zum Überprüfen:
netstat -nap | grep \:53

Entscheidend bei Bind ist listen-on in der named.conf. Dort werden entweder alle IPv4-Adressen definiert auf die Bind regaieren soll oder der Eintrag wird auskommentiert, so dass Bind auf alle IPv4 reagiert. Für IPv6 ist das entsprechend listen-on-v6 { any; };.

DKIM-Key im DNS testen

Solange der public-Key nicht über den DNS abgefragt werden kann, lassen sich die Signaturen nicht überprüfen. Die Aktualisierung des DNS (neuer Key oder geändertet Key) kann bis zu 48h dauern. Wird ein eigener DNS verwendet, aktualisiert ISPConfig die Einträge. Bei einem externen DNS kann aber immer mal ein Fehler passieren, wenn der angezeigte Rekord eingefügt wird.
dkimcore.org

Signierung der Mails testen

per Email an:
check-auth2@verifier.port25.com
oder
mailtest@unlocktheinbox.com

Web-Services:
www.appmaildev.com
www.brandonchecketts.com

Debuggen des Plugins
www.faqforge.com