brusher
@brusher
Фронт-енд разработчик

Gmail: DKIM FAILS. Как бороться?

Сервер с Убунту 16.04, отправляю почту с помощью postfix+dovecot. Подписываю с помощью opendkim, суть проблемы: проверка DKIM не проходит, Gmail еще подписывает некую ошибку "домен null". При этом SPF и DMARC проходят.

Если же отправить письмо в dkimvalidator.com — то он говорит что все проходит и все ок.
И я бы был уверен, что это Гмаил тупит, но на Мэил.ру письма совсем не доходят. И я грешу на кривой DKIM.

Пользуюсь Gmail-ом как веб-клиентом (прикрутил туда смтп и поп3).

Соответственно, в NS-записях есть и PTR, имеются A и AAAA записи, TXT записи про SPF (ipv4, ipv6), две записи DKIM (default._domainkey и _domainkey), DMARC.

Итак, вот кусочек хидера письма, отправленного в gmail:
Received: from mail.annies.ru (mail.annies.ru. [5.63.157.61])
        by mx.google.com with ESMTPS id 2si17234132ljn.13.2016.12.22.05.59.07
        for <2godoom@gmail.com>
        (version=TLS1_2 cipher=ECDHE-RSA-AES128-GCM-SHA256 bits=128/128);
        Thu, 22 Dec 2016 05:59:07 -0800 (PST)
Received-SPF: pass (google.com: domain of photo@annies.ru designates 5.63.157.61 as permitted sender) client-ip=5.63.157.61;
Authentication-Results: mx.google.com;
       dkim=fail header.i=@annies.ru;
       spf=pass (google.com: domain of photo@annies.ru designates 5.63.157.61 as permitted sender) smtp.mailfrom=photo@annies.ru;
       dmarc=pass (p=NONE dis=NONE) header.from=annies.ru
Received: from mail-qk0-f172.google.com (mail-qk0-f172.google.com [209.85.220.172]) (using TLSv1.2 with cipher ECDHE-RSA-AES128-GCM-SHA256 (128/128 bits)) (No client certificate requested) (Authenticated sender: photo@annies.ru) by mail.annies.ru (Postfix) with ESMTPSA id 717D2FEE08F8 for <2godoom@gmail.com>; Thu, 22 Dec 2016 16:59:06 +0300 (MSK)
DKIM-Filter: OpenDKIM Filter v2.10.3 mail.annies.ru 717D2FEE08F8
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=annies.ru; s=default; t=1482415146; bh=BMn2WwTb3H92qFmK0SjdNmpQwvWSeo0igDACqBfWuDo=; h=From:Date:Subject:To:From; b=izBbX12GPGgo16CbZZnEnkQNdSgM8Mxbdsp+4r+Lve86KyTx07lmAniuaMyN2QGTQ
	 MtGR7ABjB9NGTWLtsUzVhv/YnORpgTK9AklNy4xB58oMiOLJ5wF04S1GmholCw/mXf
	 2FzXD5ccs9AkiS4eC+teoFSBNSuhgSRfgk2i1PNU=


А вот почти такой же кусочек хидера, отправленный на dkimvalidator:
Received: from mail.annies.ru (mail.annies.ru [5.63.157.61])
	by relay-6.us-west-2.relay-prod (Postfix) with ESMTPS id 7713E4603D2
	for <iN1MBGFdp4e6bv@dkimvalidator.com>; Thu, 22 Dec 2016 14:03:26 +0000 (UTC)
Received: from mail-qt0-f169.google.com (mail-qt0-f169.google.com [209.85.216.169])
	(using TLSv1.2 with cipher ECDHE-RSA-AES128-GCM-SHA256 (128/128 bits))
	(No client certificate requested)
	(Authenticated sender: photo@annies.ru)
	by mail.annies.ru (Postfix) with ESMTPSA id 8FD10FEE08F8
	for <iN1MBGFdp4e6bv@dkimvalidator.com>; Thu, 22 Dec 2016 17:03:24 +0300 (MSK)
DKIM-Filter: OpenDKIM Filter v2.10.3 mail.annies.ru 8FD10FEE08F8
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=annies.ru;
	s=default; t=1482415404;
	bh=8hh3bXzrPQ5/hTE68jhnxtoWU0+ebnPeWuTZrjnKkqs=;
	h=From:Date:Subject:To:From;
	b=tkkofCQnA+zniM1YDS+A1gyfSqlncIu1Fcsb0OmyrCi6S5c8WR3JMgyCG/PKTe4k6
	 ZvwI9PT3tZ//qMec7XXbAqup5CFUXUwB0kNtUcZTQHPv4PZYxC/qyltIiAglDhCFRN
	 fcHM150XdOyCgf5DXW3k6yXqWjyc2gj4Ggdl26lk=
Received: by mail-qt0-f169.google.com with SMTP id c47so235294754qtc.2
        for <iN1MBGFdp4e6bv@dkimvalidator.com>; Thu, 22 Dec 2016 06:03:24 -0800 (PST)


И подробный ответ валидатора про DKIM:
DKIM Information:

DKIM Signature


Message contains this DKIM Signature:
DKIM-Filter: OpenDKIM Filter v2.10.3 mail.annies.ru 8FD10FEE08F8
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=annies.ru;
	s=default; t=1482415404;
	bh=8hh3bXzrPQ5/hTE68jhnxtoWU0+ebnPeWuTZrjnKkqs=;
	h=From:Date:Subject:To:From;
	b=tkkofCQnA+zniM1YDS+A1gyfSqlncIu1Fcsb0OmyrCi6S5c8WR3JMgyCG/PKTe4k6
	 ZvwI9PT3tZ//qMec7XXbAqup5CFUXUwB0kNtUcZTQHPv4PZYxC/qyltIiAglDhCFRN
	 fcHM150XdOyCgf5DXW3k6yXqWjyc2gj4Ggdl26lk=


Signature Information:
v= Version:         1
a= Algorithm:       rsa-sha256
c= Method:          relaxed/relaxed
d= Domain:          annies.ru
s= Selector:        default
q= Protocol:        
bh=                 8hh3bXzrPQ5/hTE68jhnxtoWU0+ebnPeWuTZrjnKkqs=
h= Signed Headers:  From:Date:Subject:To:From
b= Data:            tkkofCQnA+zniM1YDS+A1gyfSqlncIu1Fcsb0OmyrCi6S5c8WR3JMgyCG/PKTe4k6
	 ZvwI9PT3tZ//qMec7XXbAqup5CFUXUwB0kNtUcZTQHPv4PZYxC/qyltIiAglDhCFRN
	 fcHM150XdOyCgf5DXW3k6yXqWjyc2gj4Ggdl26lk=
Public Key DNS Lookup


Building DNS Query for default._domainkey.annies.ru
Retrieved this publickey from DNS: v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDPCn+vi1/ZOH9QXuFNltOd/jBD0V8iQPijQMC7N1TDp0tAKRi6zcyKGbCV+9dn3MjzSShRaGwjab2Pb3wXZsVwynZgMkycDR43qzVS5TvdppJKotuCRIUlGss4MK6/qhTT/J6YuRFZSO6SEG9TyCTJJ94PYGjKdovU4Iu6vx9rkwIDAQAB
Validating Signature


result = pass
Details:


На всякий случай уточню, что ключи генерировал с помощью opendkim-genkey, указывал как домен: annies.ru, а как селектор: default.

Готов предоставить любую дополнительную информацию, отправить письмо куда скажете и т.п. :) Буду рад любой помощи.
Спасибо!
  • Вопрос задан
  • 4197 просмотров
Пригласить эксперта
Ответы на вопрос 3
h=From:Date:Subject:To:From
если только Вы не добавили From в OversignHeaders в opendkim.conf, это означает что в вашем письме было два поля From:, что не соответствует стандарту RFC2822/ RFC5322. Скорей всего, на GMail второй заголовк был удален при нормализации письма, что привело к нарушению DKIM-сигнатуры.

Если вы все-таки добавили From в OversignHeaders, то дайте полностью письмо, пришедшее на GMail.
Ответ написан
brusher
@brusher Автор вопроса
Фронт-енд разработчик
Владимир Дубровин, действительно в opendkim.conf был прописан OversignHeaders From (причем по-дефолту).
Убрал его, h=From:Date:Subject:To:From сменился на h=From:Date:Subject:To
Но проверить корректность теперь не выходит, кажется, из-за другой непонятной мне причины:
Received-SPF: softfail (google.com: domain of transitioning photo@annies.ru does not designate 2a00:f940:2:1:2::1ad7 as permitted sender) client-ip=2a00:f940:2:1:2::1ad7;

Ну а вместе с тем теперь и DMARC отваливается.

Причем PTR прописан, имеется AAAA-запись, и в SPF прописаны оба ИП:
@ TXT v=spf1 ip4:5.63.157.61 ip6:2a00:f940:2:1:2:0:0:1ad7 a mx ~all


(dkimvalidator по прежнему всем доволен)
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы