Re: Account öfters mal reaktivieren / bad DKIM signature data

Andreas Schulze andreas.schulze at datev.de
Fr Okt 23 14:37:21 CEST 2015


Am 23.10.2015 um 14:01 schrieb Daniel:
> Ich hab es so in Erinnerung, dass man den selector  in Domain als TXT bekannt gibt zusätzlich.
> 
> Also z.B. domain.tld  IN TXT "xxx._domainkey.domain.tld"

das ist Mumpitz. Vergiss es gleich wieder.
Und alle anderen Leser bitte auch!

DKIM Keys findet man ausschließlich als TXT Record unter
$selector._domainkey.$domain. Mehr braucht/definiert DKIM auch nicht.

Es sind z.B. auch keine Daten direkt als TXT-Record für
_domainkey.$domain nötig. Es gab mal zu DomainKey-Zeiten (DKIM
Vorgänger) Varianten, wo eine Policy unter _domainkey.$domain
publiuziert wurde. Das ist aber alles überholt.

Außerdem darf man für eine 3 Monate alte E-Mail nicht /erwarten/, dass
der damals verwendete DKIM-Key noch im DNS zu finden ist. Es /kann/
sein, dass der betreffende Versender nach 3 Monaten immernoch den
gleichen DKIM-Key verwendet. Das ist sogar leider recht häufig
(Wer mach DKIM Keyrotation? Alle schell mal an die eigene Nase fassen :-)
Aber eine Gewähr dafür gibt es nicht. DKIM-Keys sind für MTA
Kommunikation relevant. Und nach maximal einer Woche Queue-Unschärfe
muss kein MTA eine DKIM-Signatur erneut validieren.

Bestes Beispiel ist dieses "DKIM-Validator Plugin für Thunderbird".
DKIM wurde nie dafür gemacht, im MUA augewertet zu werden!
Das Plugin funktioniert - wenn überhaupt - per Definition nur bei
/aktuellen/ Mails.

> Also muss ich Problem woanders suchen, wieso es hier zum dkim Fehler kommt.
hat sich Dein Problem damit erledigt?

-- 
A. Schulze
DATEV eG



Mehr Informationen über die Mailingliste Postfixbuch-users