Discussion:
[Postfixbuch-users] Frage zu DKIM
Andreas Meyer
2014-10-15 07:19:48 UTC
Permalink
Hallo!

Ich habe hier einen Server, auf dem Amavis das Signieren und Verifizieren
mittels DKIM vornimmt und frage mich, warum in den Headerfields manche
Felder doppelt vorkommen.

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/simple; d=bitcorner.de; h=
content-transfer-encoding:content-type:content-type:mime-version
:x-mailer:organization:message-id:subject:subject:from:from:date
:date; s=mail001; t=1413357186; x=1415171587; bh=s14J+iztnrytnRY
zb7lhFG/jS/vrxWJnnahfijFMnco=; b=Czoptj6hGNrN8mbzTxQ6lzfOq7VMOc2
jsuOjMXZ4R3cLjpcMrMAbFbLe6XLZdSi6fAuQAwFC3+7thtq9K43deOFLoKOezSF
qO6RuyrR+fg081r/eUDMRxD7Cr13/oYVXob94KZyTgcoaLK5Jd8nfF6IiPgx7nD9
tGrkkcYk09DU=

Außerdem sind die Authentication-Results bei email, die das System
verlassen hat (und nicht an eine Mailingliste gegangen ist), negativ:

Authentication-Results: hefe.heinlein-support.de (amavisd-new);
dkim=fail (1024-bit key) reason="fail (message has been altered)"
header.d=bitcorner.de

nicht so bei email, die intern zugestellt wurde:

Authentication-Results: mail.bitcorner.de (amavisd-new);
dkim=pass (1024-bit key) reason="pass (just generated, assumed good)"
header.d=bitcorner.de
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/simple; d=bitcorner.de; h=
content-transfer-encoding:content-type:content-type:mime-version
:x-mailer:organization:message-id:subject:subject:from:from:date
:date:received:received; s=mail001; t=1413356399; x=1415170800;
bh=3t7Ls+9Zep/GhZDdpaGb/wJKF8OzRaS/vh+hgQ6zdTk=; b=uWeVtUEGlcu0
RZDo0c//m8MiX4oGQofQYoZ6r6XXaCCWvg4insOUEYqV6UDSoE73YiCz5tbyeR8K
bNTRAZ1vqKPKEvxgoV+YbudwG20d8IsCC5LzJCNdTeaDxezR+ACkapFjG5Bn/GIG
k+B0zZaLCVT8ab6a+JV91792ijv19JU=

Kennt jemand das Problem?

Grüße

Andreas
Kai Fürstenberg
2014-10-15 07:52:26 UTC
Permalink
Hallo Andreas,
Post by Andreas Meyer
Ich habe hier einen Server, auf dem Amavis das Signieren und Verifizieren
mittels DKIM vornimmt und frage mich, warum in den Headerfields manche
Felder doppelt vorkommen.
das hier ^^ kann ich dir jetzt nicht sagen, das weiß ich nicht.
Post by Andreas Meyer
Außerdem sind die Authentication-Results bei email, die das System
Authentication-Results: hefe.heinlein-support.de (amavisd-new);
dkim=fail (1024-bit key) reason="fail (message has been altered)"
header.d=bitcorner.de
Aber dieses Ergebnis hier ^^ dürfte von vermutlich von genau dieser
Mailing-Liste hier sein (hefe.heinlein-support.de) Und diese
Mailing-Liste verändert den Inhalt der E-Mail dadurch, dass eine
Signatur angehängt wird. Dadurch ist das Ergebnis negativ (message has
been altered).
--
Kai Fürstenberg

PM an: kai at fuerstenberg punkt ws
Andreas Meyer
2014-10-15 08:08:56 UTC
Permalink
Hallo!
Post by Kai Fürstenberg
Hallo Andreas,
Post by Andreas Meyer
Ich habe hier einen Server, auf dem Amavis das Signieren und Verifizieren
mittels DKIM vornimmt und frage mich, warum in den Headerfields manche
Felder doppelt vorkommen.
das hier ^^ kann ich dir jetzt nicht sagen, das weiß ich nicht.
Ich habe gerade gesehen, dass die Liste der signierten Felder h=
die einzeln abgearbeiteten Header bis zum Signieren enthält. Aber
date und from kommen in den Headern nur einmal vor im Gegensatz
zu z.B. Received-Zeilen. Und date und from und subject werden
verdoppelt.
Post by Kai Fürstenberg
Post by Andreas Meyer
Außerdem sind die Authentication-Results bei email, die das System
Authentication-Results: hefe.heinlein-support.de (amavisd-new);
dkim=fail (1024-bit key) reason="fail (message has been altered)"
header.d=bitcorner.de
Aber dieses Ergebnis hier ^^ dürfte von vermutlich von genau dieser
Mailing-Liste hier sein (hefe.heinlein-support.de) Und diese
Mailing-Liste verändert den Inhalt der E-Mail dadurch, dass eine
Signatur angehängt wird. Dadurch ist das Ergebnis negativ (message has
been altered).
Nein, dieses Authentication-Result ist von einer anderen einfach mail,
die an eine Adresse bei mailbox.org ging.

Andreas
Kai Fürstenberg
2014-10-15 09:07:27 UTC
Permalink
Post by Andreas Meyer
Post by Kai Fürstenberg
Post by Andreas Meyer
Ich habe hier einen Server, auf dem Amavis das Signieren und Verifizieren
mittels DKIM vornimmt und frage mich, warum in den Headerfields manche
Felder doppelt vorkommen.
das hier ^^ kann ich dir jetzt nicht sagen, das weiß ich nicht.
Ich habe gerade gesehen, dass die Liste der signierten Felder h=
die einzeln abgearbeiteten Header bis zum Signieren enthält. Aber
date und from kommen in den Headern nur einmal vor im Gegensatz
zu z.B. Received-Zeilen. Und date und from und subject werden
verdoppelt.
habs gefunden. Das ist Absicht:
http://marc.info/?l=amavis-user&m=127194779526738&w=2
Post by Andreas Meyer
Post by Kai Fürstenberg
Post by Andreas Meyer
Außerdem sind die Authentication-Results bei email, die das System
Authentication-Results: hefe.heinlein-support.de (amavisd-new);
dkim=fail (1024-bit key) reason="fail (message has been altered)"
header.d=bitcorner.de
Aber dieses Ergebnis hier ^^ dürfte von vermutlich von genau dieser
Mailing-Liste hier sein (hefe.heinlein-support.de) Und diese
Mailing-Liste verändert den Inhalt der E-Mail dadurch, dass eine
Signatur angehängt wird. Dadurch ist das Ergebnis negativ (message has
been altered).
Nein, dieses Authentication-Result ist von einer anderen einfach mail,
die an eine Adresse bei mailbox.org ging.
Oh, ja, genau, mailbox.org. Ist ja auch von Peer. Ich vergaß ...

Nichtsdestotrotz sagt das Ergebnis aber, dass die Mail verändert wurde
(z.B. durch Header/Body-checks, Canonical, irgendwelche Signaturen, wie
auch immer).

Prüfe mal den Inhalt einer Mail und alle angegebenen Header auf
Veränderungen, bzw. schalte den ein oder anderen Header in der Prüfung
mal aus.
--
Kai Fürstenberg

PM an: kai at fuerstenberg punkt ws
Andreas Meyer
2014-10-15 11:18:23 UTC
Permalink
Post by Kai Fürstenberg
Post by Andreas Meyer
Post by Kai Fürstenberg
Post by Andreas Meyer
Ich habe hier einen Server, auf dem Amavis das Signieren und Verifizieren
mittels DKIM vornimmt und frage mich, warum in den Headerfields manche
Felder doppelt vorkommen.
das hier ^^ kann ich dir jetzt nicht sagen, das weiß ich nicht.
Ich habe gerade gesehen, dass die Liste der signierten Felder h=
die einzeln abgearbeiteten Header bis zum Signieren enthält. Aber
date und from kommen in den Headern nur einmal vor im Gegensatz
zu z.B. Received-Zeilen. Und date und from und subject werden
verdoppelt.
http://marc.info/?l=amavis-user&m=127194779526738&w=2
Super, interessant!
Post by Kai Fürstenberg
Post by Andreas Meyer
Post by Kai Fürstenberg
Post by Andreas Meyer
Außerdem sind die Authentication-Results bei email, die das System
Authentication-Results: hefe.heinlein-support.de (amavisd-new);
dkim=fail (1024-bit key) reason="fail (message has been altered)"
header.d=bitcorner.de
Aber dieses Ergebnis hier ^^ dürfte von vermutlich von genau dieser
Mailing-Liste hier sein (hefe.heinlein-support.de) Und diese
Mailing-Liste verändert den Inhalt der E-Mail dadurch, dass eine
Signatur angehängt wird. Dadurch ist das Ergebnis negativ (message has
been altered).
Nein, dieses Authentication-Result ist von einer anderen einfach mail,
die an eine Adresse bei mailbox.org ging.
Oh, ja, genau, mailbox.org. Ist ja auch von Peer. Ich vergaß ...
Nichtsdestotrotz sagt das Ergebnis aber, dass die Mail verändert wurde
(z.B. durch Header/Body-checks, Canonical, irgendwelche Signaturen, wie
auch immer).
Prüfe mal den Inhalt einer Mail und alle angegebenen Header auf
Veränderungen, bzw. schalte den ein oder anderen Header in der Prüfung
mal aus.
Es hat offensichtlich mit

localhost:10025 inet n - n - - smtpd
-o content_filter=
-o smtpd_proxy_filter=
-o mynetworks=127.0.0.0/8
-o smtpd_client_restrictions=
-o smtpd_helo_restrictions=
-o smtpd_sender_restrictions=
-o smtpd_recipient_restrictions=check_recipient_access,hash:/etc/postfix/hold,permit_mynetworks,reject
-o smtpd_data_restrictions=
-o receive_override_options=no_unknown_recipient_checks
#,no_header_body_checks

zu tun. Ändere ich um in -o receive_override_options=no_unknown_recipient_checks,no_header_body_checks

gibt's kein failure:

Authentication-Results: gerste.heinlein-support.de (amavisd-new);
dkim=pass (1024-bit key) header.d=bitcorner.de

Danke für den Hinweis! Nur hätte ich gerne die header_body_checks weiterhin
aktiv.

Andreas

Peer Heinlein
2014-10-15 09:28:50 UTC
Permalink
Post by Andreas Meyer
Nein, dieses Authentication-Result ist von einer anderen einfach mail,
die an eine Adresse bei mailbox.org ging.
Wir haben da bei uns gerade einen Bug offen daß irgendwas mit der
DKIM-Signierung nicht ganz rund ist. Klären wir derzeit und wird
vermutlich die Ursache sein.

Peer
--
Heinlein Support GmbH
Schwedter Str. 8/9b, 10119 Berlin

http://www.heinlein-support.de

Tel: 030 / 405051-42
Fax: 030 / 405051-19

Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht
Berlin-Charlottenburg,
Geschäftsführer: Peer Heinlein -- Sitz: Berlin
Loading...