Владимир Дубровин

вообще не понятно что вы хотите спросить, т.к. из вопроса не понятно кто из вас не прав: вы, сотрудник службы поддержки или ваше понимание ответа сотрудника поддержки. Что касается DKIM:

1. DKIM должен быть
2. В одном письме может быть несколько DKIM-Signature, например одна от хостера и одна от вашего домена. Удаление "лишней" DKIM-Signature скорей всего не скажется существенно на доставке.
3. Наличие корректной DKIM-Signature домена, совпадающего с доменом в поле From: крайне желательно, при наличии DMARC - обязательно.
4. Разделить DKIM для почты и сайта можно (и нужно), опубликуйте для сайта отдельный DKIM-ключ с отдельным селектором в DNS и используйте его.

Судя по описанию проблемы, DKIM к ней вообще отношения не имеет. Пройдитесь по рекомендациям в этой статье, в частности, обязательно проверьте SMTP-конверт.

Смотрите по Received'ам, не проходило ли ваше письмо через MTA дважды (например до и после спам-фильтра или антивирусного фильтра), не подключено ли лишних milter'ов в MTA, не подключен ли встроенный функционал DKIM в MTA (есть, например, в exim).

P.S. И не лишний публичный ключ, а лишняя DKIM-подпись. Ключа для селектора mail у вас как раз и нет.

Если письма отправляете без авторизации, то надо прописать IP адреса клиентов, для которых письма подписываются, в
/etc/opendkim/TrustedHosts
проверьте разрешения на все используемые файлы.
Если это не поможет, посмотрите все что есть в mail.log при отправке письма.

h=From:Date:Subject:To:From
если только Вы не добавили From в OversignHeaders в opendkim.conf, это означает что в вашем письме было два поля From:, что не соответствует стандарту RFC2822/ RFC5322. Скорей всего, на GMail второй заголовк был удален при нормализации письма, что привело к нарушению DKIM-сигнатуры.

Если вы все-таки добавили From в OversignHeaders, то дайте полностью письмо, пришедшее на GMail.

Если у вас нет высоких требований к безопасности, можете воспользоваться сервисами типа
dkimcore.org/tools/keys.html

Иначе лучше использовать opendkim-genkey из OpenDKIM.

Вы не опубликовали DKIM-ключ для селектора mail в домене teon-svc.ru (d=teon-svc.ru; s=mail; в DKIM-Signature)), который используете для подписи:

>host -tTXT mail._domainkey.teon-svc.ru
Host mail._domainkey.teon-svc.ru not found: 3(NXDOMAIN)

соответственно никто не может проверить валидность вашей подписи.

У вас в envelope-from используется дефолтный адрес username@fe122.hc.ru. Для fe122.hc.ru не опубликовано SPF-записи

>host -tTXT fe122.hc.ru
fe122.hc.ru has no TXT record

Раньше Google при проверке SPF использовал best guess record (в данном случае имя домена совпадает с PTR-записью, поэтому SPF считался прошедшим), сейчас отказался от этого, т.к. такое поведение не совпадает со стандартами SPF и нарушает политики DMARC.

Используйте в envelope-from адрес своего домена
stackoverflow.com/questions/179014/how-to-change-e...
и опубликуйте для своего домена SPF.

У вас настроен лимит на размер подписываемого содержимого (l=366) и этот лимит конфликтует с размером ключа. Уберите этот лимит, его использование крайне нерекомендуется.

P.S. временную метку (t=) я бы тоже рекомендовал убрать из подписи, иначе можете получать ошибки если у вас часы будут вперед хотя бы на секунду относительно получателя.

P.P.S. и нормализацию используйте relaxed/relaxed, меньше проблем будет.

У вас опубликован DKIM-ключ для селектора mail (mail._domainkey) а письмо подписано с селектором dkim (s=dkim в DKIM-Signature). Насколько я понимаю, письмо формировалось вашим сервером и DKIM-подпись добавлял он, а не яндекс. Соответственно, или поправьте селектор в настройках своего почтового сервера с dkim на mail (подойдет только в том случае, если вы используете тот же ключ, что и Яндекс) или опубликуйте публичный ключ, который он использует в записи dkim._domainkey или используйте отправку через SMTP Яндекса с авторизацией, тогда письма будет подписывать он.

А что вы имеете ввиду под DKIM домена? Если публичный ключ - то их может быть несколько с разными селекторами, они публикуются как TXT-запись selector._domainkey.example.com.

Может быть вы имеете ввиду не DKIM, а DMARC-политику?

DMARC-SPF не проходит, потому что отправляющий сервер не попадает в SPF-политику

>host -tTXT namskidka.ru
namskidka.ru descriptive text "v=spf1 a mx include:spf.mandrillapp.com ?all"

добавьте include:spf.zoho.com

DMARC-DKIM не проходит, потому что у вас вообще нет DKIM-сигнатуры (RFC 4871), но есть устаревшая DomainKey-сигнатура (RFC 4870, в настоящее время не используется). Почему так - спросите у zoho.

1. Настроить SPF
domen.ru. IN TXT "v=spf1 a:smtp1.ru a:smtp.2.ru a:smtp3.ru ~all"
(если у провайдера SMTP-серверов есть готовые SPF-записи лучше включить их через include)
2. выбрать селектор DKIM, например mail1 (можно выбрать разные селекторы для разных SMTP, можно один общий)
3. опубликовать ключ(и) DKIM для выбранного селектора(ов)
mail1._domainkey.domen.ru. IN TXT ...
4. настроить подпись писем парным ключом для домена domen.ru с выбранными селекторами
5. Убедиться, что и в заголовке From: и в SMTP-конверте используется домен domen.ru. Если, например, в конверте будет подставляться обратный адрес типа blablabla@smtp1.ru то SPF будет проходить, но не будет проходить проверка DMARC через SPF, т.к. домен SPF не элайнится с доменом в From:. Отправить тестовое письмо, убедиться, что SPF и DKIM проходят именно для домена domen.ru.
6. Опубликовать DMARC
_dmarc.domen.ru. IN TXT "v=DMARC1;p=none;rua=mailto:dmarc-report@domen.ru;ruf=mailto:dmarc-report@domen.ru;fo=1;"
последить за приходящими репортами.
При необходимости, если все нормально, дальше можно перейти на ограничивающую политику DMARC (p=none заменить на p=reject).