[SOLVED] DMARC-Reports zeigen DKIM "fail"

[bziegler]

Hallo Zusammen,

in einigen DMARC-Reports bin ich darauf gestoßen, dass angeblich DKIM-Checks für Mails meiner Domäne fehlschlagen würden:

<dkim>
    <domain>"domain"</domain>
    <selector>"selector"</selector>
    <result>permerror</result>
</dkim>

Ich habe eine Testmail an 'check-auth@verifier.port25.com' gesendet und die Antwort ist wie ich es erwartet hatte:

Summary of Results

SPF check:          pass
"iprev" check:      pass
DKIM check:         pass
SpamAssassin check: ham

Wenn ich mir DMARC-Reports von Google anschaue, dann sind diese auch durchgehend mit "pass" gekennzeichnet:

<policy_evaluated>
    <disposition>none</disposition>
    <dkim>pass</dkim>
    <spf>pass</spf>
</policy_evaluated>

Die einzige Idee die ich dazu habe, ist die Key-Size. Ich hatte extra eine Key-Size von 8192 benutzt. Kurze Recherche im Internet führte mich zu diesem Thread:

[...] I contacted Google and they suggested to lower the DKIM length to 1024.[...]
https://crypto.stackexchange.com/questions/72297/recommended-key-size-for-dkim

Von da aus bin ich zu einem Draft der IETF gelangt: "Cryptographic Algorithm and Key Usage Update to DKIM"

[...] Signers MUST use RSA keys of at least 1024 bits for all keys. Signers SHOULD use RSA keys of at least 2048 bits. Verifiers MUST be able to validate signatures with keys ranging from 1024 bits to 4096 bits, and they MAY be able to validate signatures with larger keys.[...]
https://tools.ietf.org/id/draft-ietf-dcrup-dkim-usage-06.html

<EDIT>
[...] Here, it should be noted that large keys (normally upwards of 4096 bits) can
potentially cause problems in the DNS, as the answers then no longer fit into a UDP
packet, but need to be answered using TCP. [...]
https://certified-senders.org/wp-content/uploads/2018/06/DKIM-Recommendations-2018.pdf
</EDIT>

Aktuell sind mir keine Fälle bekannt, dass ausgehenden E-Mails als Spam vom empfangenden Gateway behandelt wurden. Ich frage mich trotzdem, ob ich die Key-Size verringern sollte. (Best-Practice oder Hinweis in der PMG-Doku wären auch nicht schlecht.)

Hat jemand Erfahrung mit diesem Problem?

Grüße
Benjamin

 

[Stoiko Ivanov]

in einigen DMARC-Reports bin ich darauf gestoßen, dass angeblich DKIM-Checks für Mails meiner Domäne fehlschlagen würden:

In dem Fall würde es sich anbieten, die Admins der jeweiligen Mailserver zu fragen, warum auf ihrer Seite die DKIM Verification failed (und ja - eine key-size von 8192 könnte da durchaus auch der Grund sein - falls ihre verification-software darauf einfach noch nicht eingestellt ist, oder ihr DNS einfach keine TCP anfragen sendet und deswegen den public key nicht holen kann)

Aktuell sind mir keine Fälle bekannt, dass ausgehenden E-Mails als Spam vom empfangenden Gateway behandelt wurden. Ich frage mich trotzdem, ob ich die Key-Size verringern sollte. (Best-Practice oder Hinweis in der PMG-Doku wären auch nicht schlecht.)

eine failing DKIM signature alleine ist selten ausreichend, dass etwas als spam identifiziert wird (es gibt viel Spam, welcher mit gültigem SPF-record, DKIM signature, DMARC policy gesendet wird ) - deswegen werden von SpamAssassin (welches auch von PMG verwendet wird) auch nur wenig Punkte für failing DKIM vergeben - Ändert natürlich wenig daran, dass es gut wäre, wenn ein korrekt eingestellter Key auch funktioniert.

Selber bin ich in das Problem noch nicht reingelaufen - verwende aber auch keine 8192bit keys.

(Best-Practice oder Hinweis in der PMG-Doku wären auch nicht schlecht.)

Key-sizes in Dokus vorschlagen führt dazu, dass diese tw. nicht upgedated werden und dann unsichere Empfehlungen in der Dokumentation stehen.


Ich hoffe das hilft!

 

[bziegler]

Hallo Stoiko,

nachdem ich auf das UDP-Problem gestoßen war, habe ich jetzt einen neuen Key mit 2048bit erstellt und werde mal die nächsten DMARC-Reports abwarten.

In dem Fall würde es sich anbieten, die Admins der jeweiligen Mailserver zu fragen, warum auf ihrer Seite die DKIM Verification failed

Grundsätzlich stimme ich dir dabei zu, aber die richtigen Ansprechpartner zu finden dürfte recht zeitintensiv sein und ich habe bei den betroffenen Unternehmen eher schlechte Erfahrungen mit dem Finden von Ansprechpartnern gehabt.

eine failing DKIM signature alleine ist selten ausreichend, dass etwas als spam identifiziert wird

Das ist mir auch schon aufgefallen und man fragt sich natürlich warum man dann überhaupt DKIM implementiert...

Key-sizes in Dokus vorschlagen führt dazu, dass diese tw. nicht upgedated werden und dann unsichere Empfehlungen in der Dokumentation stehen.

Vielleicht könnt ihr trotzdem in der Doku die UDP-Problematik erwähnen.

Grüße
Benjamin

 

[bziegler]

In neuen DMARC-Reports von bekannten problematischen Empfänger-Gateways sehe ich nun den alten DKIM-8192bit-Key weiterhin als Permanent Error (permerror). Der neue 2048bit-Key wird als Pass angegeben.

---

For the record: Zu den Gegenstellen, die den 8192bit-Key mit Permanent Error verarbeiten, gehören große Software-Entwickler, Fluggesellschaften und Logistikunternehmen. Alle im >10.000-Mitarbeiter-Bereich, also keine kleinen Klitschen.

Aktuell kann ich nur spekulieren, ob es ein Firewall-Problem auf der Gegenstelle ist und DNS-Kommunikation nur für UDP freigeschaltet ist, oder ob die eingesetzte MTA-Software die Key-Size nicht verarbeiten kann.

 

[Stoiko Ivanov]

Danke für das Teilen der Erkenntnisse!

Leider ist das Mailsystem auch in größeren Firmen nicht immer auf dem letzten Stand...