Как узнать, какая запись dkim верная?

Question

[alex_ak1]

Здравствуйте.
Переезжал на новый днс-домен и внезапно обнаружил у себя две публичные записи dkim. Какая из них верная (соответствует приватному ключу) не могу понять. Послал себе письмо, заголовок DKIM-Signature есть, но никак не могу понять, какой из двух публичных ключей может проверить письмо.
Как можно проверить письмо по очереди обеими подписями?

Подписи и заголовок примерно такие:

"k=rsa;p=MIGfMA0G.....AQAB"

"k=rsa; p=MIGfMA0G...AP85"

DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/relaxed; d=site.com;
s=dkim; h=Date:Message-Id:From:To:Subject:Mime-Version:Content-Type:Sender:
Reply-To:Cc:Content-Transfer-Encoding:Content-ID:Content-Description:
Resent-Date:Resent-From:Resent-Sender:Resent-To:Resent-Cc:Resent-Message-ID:
In-Reply-To:References:List-Id:List-Help:List-Unsubscribe:List-Subscribe:
List-Post:List-Owner:List-Archive;
bh=mNuvj ... QbMo=; b=fzcEmR .... S3A0=;

Как я понимаю, из подписи я должен взять поле bh (хеш), и с помощью открытого ключа и поля b проверить подпись. Не могу нагуглить, как это сделать

Answer 1

[galaxy]

Селекторы разные (поле s= в DKIM-Signature, и левый поддомен в dkim._domainkey.site.com)?
Несколько TXT записей по одному селектору не допускается.
Если наворотили в одной записи, можете попробовать по очереди убрать их из DNS и протестировать каким-нибудь валидатором (гугл "dkim validator").

Comments

[alex_ak1]

В том то и дело, что одинаковые (dkim). Правда был еще селектор mailru (или как там его), который с одним из моих dkim совпадал. Так что оставил другой, все остальное удалил (мейл тоже), вроде после расхождения днс все заработало.

Но все равно хотелось узнать, как же проверить подпись. Я несколько часов писал openssl, чтобы получить ОК. Но получал невнятные ошибки про размер чего-то

[galaxy]

bh - это хеш сообщения (body).
В b лежит подпись канонизированных заголовков.
Вручную такое себе это все проверять, но можете попробовать - https://ediscoverychannel.com/2021/02/28/nothings-...
Или вот приспособить под свои нужды писульку на питоне - https://github.com/kmille/dkim-verify

[alex_ak1]

galaxy, То есть b - подпись не хеша, а всех заголовков? Это обьясняет, почему я никак не могу проверить все.

Спасибо за ссылку, сейчас буду смотреть