Разобрался.
Два косяка:
DKIM_PRIVATE_KEY = ${if exists{DKIM_FILE}{DKIM_FILE}{0}}
не работает, нужно просто заменить на путь+имя файла
dkim_selector = mail # - выбранный нами селектор.
вот тут реальная бомба
exim тянет в заголовок все включая то что написано после решетки, итог в заголовке
s=mail # - выбранный нами селектор.
и проверку подпись не проходит
