DKIM Keys

I just went through this.  If anyone would like a cheat-sheet on all the steps to completing this, please email me at BAlfson at MediaSoftUSA dot com.  All I ask in return is feedback with ideas to improve it.

Best - Bob

Thanks to Bob I'm pretty sure I've properly set up DKIM in the Mail Security section and on my DNS (BIND).

If I send an email using Apple's Mail.app to check-auth@verifier.port25.com to comes back saying:

DKIM check details:
Result: fail (signature doesn't verify)

The same thing happens sending from my iPhone.

But it works fine sending from the same computer using Thunderbird. Or if I use webmail (Roundcube or Ilohamail) to send the email.

All are sending through the same mail server (Postfix), same account, with and without SSL.

Has anyone had any similar problems with DKIM and certain mail clients when DKIM is set up via Astaro?

Have I set up something incorrectly?

Any suggestions?

Thanks,

James.

Now, I have an interesting problem.  I participate in an on-line discussion group that is presently hosted by Publishing Concepts.  Out of about 20 emails I've sent to the list in the last two days, two have been rejected with the notation:


The first time it happened, I resent the message and received the same rejection.  I asked another person to forward the message to the group, and it worked just fine.

Today, I received another such rejection.  I briefly removed my domain from the DKIM configuration in the Astaro and resent the message.  This time it went through without a problem.

"Message content rejected, UBE"

So it looks like it thinks it is spam, probably because your DKIM signature does not match. Which is what I've been experiencing.

I can only conclude that there is a bug somewhere in the Astaro code. Discussions on the Postfix mailing list indicate that that for some reason the email goes through Astaro twice and the second time is where the signature gets mangled.

Eg this is one response I had:

"Your signer signed the following header section:

*****************

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
d=bordo.com.au; s=mail; h=Message-Id:From:To:In-Reply-To:
Mime-Version:Subject[:D]ate:References:MIME-Version:Content-Type;
bh=FBGlG3/lg4Qa0cw6oM9LAu83D6E9uxKw+uQSQmKN7EQ=; b=D8uXGWZusRopo
0Dx4TQeApJbajiayRIpN/Q+GTgn/MPv7Qj+Cq5EOcwr75ZXv/GV+MRpo+qGiOfv0
fJtqDvR1TwbjuvSuRTHgQVCc1+AY3T4iDEQ5f4EGJ0NPR56rPqrKGDi1AwCGjvVD
sieq86AnRWfredZLTHzXvzq5neSGOE=
Message-Id: 
From: James Brown 
To: postfix-users@postfix.org
In-Reply-To: 
MIME-Version: 1.0
Subject: Re: [OFF]: DKIM broken by certain email clients
Date: Wed, 24 Sep 2008 17:42:40 +1000
References:  
MIME-Version: 1.0
Content-Type: multipart/signed; protocol="application/x-pkcs7-signature"; micalg=sha1; boundary="----31313EF4F437E4210E9DC5F9C2D9A7A1"

******************

Note the double occurrence MIME-Version, but this is not in itself
a reason for DKIM validation failure.

The above header section was modified on its way out from your site,
replacing the first "MIME-Version: 1.0" of the two with a
 Mime-Version: 1.0 (Apple Message framework v929.2)
thus breaking the signature.

So it seems you have two problems here: why are there two MIME-Version
header fields in the first place, and why is one of them modified AFTER signing."

I have not experienced the rejections again.  It almost seems like a random occurence.

James, if you have Platinum maintenance, why don't you submit a trouble ticket?  I think this will need to go to the developers in Germany though.

James, what is your mail setup? You mentioned a postfix server. It is important that the ASG is the last hop before the remote site(s). Using a smarthost that may modify messages will in some cases invalidate the signature.

James, what is your mail setup? You mentioned a postfix server. It is important that the ASG is the last hop before the remote site(s). Using a smarthost that may modify messages will in some cases invalidate the signature.

Hi Tom.

Mail flow is:

MTA -> ASSP -> Postfix -> amavisd-new -> Postfix -> Astaro -> Internet

ASSP is an anti-spam proxy, and amavisd-new is used for virus scanning using Sophos Anti-Virus.

I know that amavisd-new is DKIM-safe and have tested with both ASSP and amavisd-new bypassed. There was no change in the behavior.

The SmartHost settings in the Advanced tab are left blank.

I have put my mail server in "Skip TLS negotiation hosts/nets". My mail server is in "Allowed hosts/networks" on the Relaying tab and under "Host list" on the Routing tab.

Thanks,

James.

Please send test messages to tkistner@astaro-tech.com (one "good", one "bad"). Thanks!

Thanks Tom.

I've sent you one from Apple's Mail, which should fail, and one from Thunderbird, which should pass the DKIM test.

James.

You are right, the signature calculation gets screwed up somehow. Though I have no idea why. Driving me nuts [:D]

I'll do some internal tests to see if I can reproduce this. To aid in testing, can you please send me two copies with DKIM turned off (one from TB, one from Mail.App)? Thanks!

And one other thing: Can you please re-test the DKIM responder with email encryption turned off? Just to see if that makes a difference ...

I think I have a fix ready. If you provide login details, we can test it. Also send to tkistner@astaro-tech.com. Thanks for your help so far! [:)]

Tom, did you manage to log in?

And, did your fix wind up in 7.303?

Thanks - Bob

Not as far as I can tell Bob.

No mention of it in the change list, and DKIM verification sites say it is wrong.

Thanks, James.

Tom:  Can you give us an updated status on this thread please?