Signature DKIM n'est pas valide

fr

#1

Bonjour les gens,

Voilà plus d’un an que j’utilise quotidiennement Yunohost et que j’en suis satisfait. Ce pendant la semaine dernière j’ai pu constater que certains mails ne sont jamais arrivés.
Je suis blacklisté, j’ai lancé les procédures sur les liens que yunohost fournit en attente de résolution.

Par contre je n’arrive toujours pas a valider ma signature DKIM et je voudrais bien un coup de main s’il vous plaît.

Merci d’avance de votre aide :slight_smile:


#2

Bonjour Eniot;
est-ce qu’il t’est possible de fournir les résultats de ses tests ?

https://www.mail-tester.com/spf-dkim-check

http://dkimvalidator.com/


#3

voici le resultat du premier lien:

SPF check

1 SPF record found for the domain eniot.ailes-52.org :

"v=spf1 a mx ip4:79.229.136.28 -all"
DKIM check

No DNS record found for default._domainkey.eniot.ailes-52.org

et dans l’autre il me met:
Validating Signature

result = invalid
Details: public key: not available


#4

Salut Eniot,

je pense qu’il te manque le champ correspondant à la clef DKIM dans tes DNS.

Si tu veux, tu peux tester / diagnostiquer ta conf DNS avec ce script que j’ai écrit :

# Sur ton instance YunoHost
$ wget https://gist.githubusercontent.com/alexAubin/ddd59ac22a42a52a49fdf38d36ccaf69/raw/fd9badbe63f4120c048c060c05abd79cebad2652/yunoCheckDNS.py
$ python yunoCheckDNS.py ton.domaine.tld --mail

[Résolu][Rainloop] Réception OK, envoi PAS OK :D
#5

Voici le résultat je pense qu’il me manque un truc là en fait.
cat: /etc/resolv.dnsmasq.conf: Aucun fichier ou dossier de ce type
Traceback (most recent call last):
File “yunoCheckDNS.py”, line 19, in
resolver = subprocess.check_output(“cat /etc/resolv.dnsmasq.conf”.split()).split("\n")[0].split(" ")[1]
File “/usr/lib/python2.7/subprocess.py”, line 573, in check_output
raise CalledProcessError(retcode, cmd, output=output)
subprocess.CalledProcessError: Command ‘[‘cat’, ‘/etc/resolv.dnsmasq.conf’]’ returned non-zero exit status 1


#6

Quand je vais voir sur la page documentation DKIM ce paragraphe apparaît:

Cette page n’est plus à jour. Le DKIM est a présent intégré par défaut dans YunoHost avec Rspamd/rmilter. Il suffit désormais de créer une zone DNS en s’inspirant du fichier /etc/dkim/yourdomainname.tld.mail.txt

Moi ces fichiers sont vides … alors je ne suis pas plus avancé.


#7

Salut,

est-ce que ton YunoHost est bien à jour (version 2.6.4) ? Tu peux vérifier avec yunohost --version


#8

Merci encore pour votre aide les gens :slight_smile:

Je n’avais pas la dernière version encore donc j’ai fait les MAJ ( ce n’était pas le problème).
J’ai simplement passer le script avec OpenDKIM proposé dans la doc et tout c’est mis en place.
Ce qui a fait relever ma Note à 8.6 / 10 sur l’outil de test mail.
Les points à améliorer sont vraiment faibles. vous en pensez quoi ?
Je garde encore un peu ce post ouvert avant de le classer en résolu on ne sait jamais si je peux avoir une note de 10/10 :slight_smile:


#9

voilà éventuellement les derniers points négatifs:

Votre message n’est pas signé avec DKIM
DomainKeys Identified Mail (DKIM) est une méthode permettant d’associer un nom de domaine à un message e-mail, ce qui permet à une personne, une organisation de revendiquer certaines responsabilités pour le message.

Vous n’avez pas d’enregistrement DMARC
Une politique DMARC permet à un expéditeur de signaler que ces messages sont protégés par SPF et/ou DKIM et de donner les instructions à exécuter si aucune de ces deux méthodes d’authentifications est correcte. Veuillez vérifier que votre SPF et DKIM soient correctement configurés avant d’installer DMARC.

Vous n’avez pas d’enregistrement DMARC, veuillez ajouter une entrée TXT à votre domaine _dmarc.eniot.ailes-52.org avec la valeur suivante :

v=DMARC1; p=none

Détails de la vérification :

mail-tester.com; dmarc=none header.from=eniot.ailes-52.org
From Domain: eniot.ailes-52.org
DKIM Domain: 

Votre reverse DNS ne correspond pas avec votre domaine d’envoi.
La recherche ou la résolution de la reverse DNS (rDNS) permet de déterminer si un nom de domaine est associé à l’adresse IP donnée.
Quelques entreprises comme AOL rejetteront tout message envoyé d’un serveur sans rDNS, vous devez vous assurer d’en avoir une.
Vous ne pouvez pas associer plus d’un nom de domaine à une adresse IP unique.

Votre adresse IP est associée au nom de domaine not52-1-XX.XX.XX.XX.fbx.proxad.net.
Néanmoins votre message semble être envoyé de eniot.ailes-52.org.

Vous devriez publier un enregistrement de pointeur DNS (Type PTR) avec la valeur suivante eniot.ailes-52.org ou utiliser not52-1-7XX.XX.XX.XX.fbx.proxad.net comme nom d’hôte dans votre logiciel de messagerie.


#10

Uuuh, mais comme indiqué dans la doc (je crois ?) OpenDKIM est obsolète dans le cadre de YunoHost depuis plusieurs versions car on est maintenant passé à rmilter…

Est-ce que tu as bien mis à jour YunoHost vers la dernière version ? Normalement si tu fais touner le script que je te proposais d’utiliser (qui requiert d’etre sous la dernière version de YunoHost), il t’indique quels champs sont bon/mauvais dans ta conf DNS.


#11

Au passage, il est possible que ta conf postfix ne soit pas à jour … Tu peux verifier avec yunohost service regen-conf postfix --dry-run -d. Si il y a des fichiers à mettre à jour et que ca te semble cohérent, tu peux appliquer les modifs avec yunohost service regen-conf postfix (eventuellement avec --force au bout)


#12

Oui il est bien à jour maintenant voici les résultats:
mail

MX record for @ : OK! :slight_smile:
TXT record for @ : OK! :slight_smile:

TXT record for mail._domainkey : Problem found :frowning:
Expected : "v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCqtR5YPipjUUSP0lhbbtkAZuji7oWZ2VhQCOSsDDQz6jDeJVtzSJCn04gfq8yE4geyPsO2zy0RQWtnXSQZqgrs/SUPWL4OX+DYLnvy+sfOLmotwbjgxJCZH/kFAdS0yScXvQhqmWYWpwB0Wyu3xjqzvWFE9JdZ/5dRuelORcvrGwIDAQAB"
Current : Nothing!

TXT record for _dmarc : Problem found :frowning:
Expected : "v=DMARC1; p=none"
Current : Nothing!

basic

A record for @ : OK! :slight_smile:


#13

Okay,

du coup comme indiqué, il faut que tu rajoutes les enregistrements suivants dans ton DNS :

mail._domainkey IN TXT "v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCqtR5YPipjUUSP0lhbbtkAZuji7oWZ2VhQCOSsDDQz6jDeJVtzSJCn04gfq8yE4geyPsO2zy0RQWtnXSQZqgrs/SUPWL4OX+DYLnvy+sfOLmotwbjgxJCZH/kFAdS0yScXvQhqmWYWpwB0Wyu3xjqzvWFE9JdZ/5dRuelORcvrGwIDAQAB"

et

_dmarc IN TXT "v=DMARC1; p=none" 

(il y a le TTL a choisi aussi, tu peux mettre par exemple 3600 (secondes))


#14

ou dans le dns ?

et la commande que tu m’as donné 'ai cette réponse, dis moi ce que tu en penses stp

Attention : Le fichier de configuration « /etc/postfix/main.cf » a été modifié manuellement et ne sera pas mis à jour
postfix: 
  applied: 
  pending: 
    /etc/postfix/main.cf: 
      diff: @@ -60,8 +60,8 @@
 recipient_delimiter = +
 inet_interfaces = all
 
-#### Fit to the maximum message size allowed by GMail or Yahoo ####
-message_size_limit = 26214400
+#### Fit to the maximum message size to 30mb, more than allowed by GMail or Yahoo ####
+message_size_limit = 31457280
 
 # Virtual Domains Control 
 virtual_mailbox_domains = ldap:/etc/postfix/ldap-domains.cf 
@@ -144,11 +144,4 @@
 smtpd_milters = unix:/run/rmilter/rmilter.sock
 
 # Skip email without checking if milter has died
-
-# Opendkim milter configuration
-
-milter_protocol = 2
 milter_default_action = accept
-smtpd_milters = inet:127.0.0.1:8891
-non_smtpd_milters = inet:127.0.0.1:8891
-
      status: modified

#15

Tu dois ajouter les enregistrements que j’ai donné. De la meme facon que tu as probablement du ajouter (entre autre) un enreigstrement de type ‘A’ pour faire pointer ton domaine sur l’IP (@ IN A 111.222.333.444 avec 111.222.333.444 ton ip), il faut rajouter des enregistrements TXT pour _dmarc et mail._domainkey. Normalement tu fais ca via l’interface de gestion des DNS de ton registrar

Sinon oui, il faut mettre à jour la conf postfix car pour le moment elle utilise OpenDKIM au lieu de Rmilter


Mails vers OVH n'arrivent jamais
#16

Ok oui je me rappelais de ce passage là. J’ai relancé la conf postfix, j’ai repris les renseignements à changer (ils étaient bien rentrés).
J’ai relancé un test je suis repasser à 6.5/10 on va attendre la propagation.
Je te redis demain. Merci du coup de main. :slight_smile:


#17

Bon ben j’en suis au même point avec l’ancienne manip j’avais comme même réussi à avoir 8.6 et la mail-tester.com me dit que je n’ai pas de signature DKIM alors que les renseignements sont rentrés…

Nous n’avons pas été en mesure de récupérer votre clé publique.
Veuillez vous assurer que vous en avez une, et que votre signature de domaine (eniot.ailes-52.org) et votre sélecteur (mail) sont valides.
Si vous avez récemment modifié vos DNS, veuillez être patient et tester à nouveau votre newsletter dans 12 heures, la propagation des DNS peut prendre un certain temps

:frowning:


#18

Tu as bien vérifié que tu as bien ajouté ton enregistrement DNS dans l’interface ? :s

Que dit le script yunoCheckDNS.py ?

(Edit : normalement ca prends genre 1h la ‘propagation’ DNS, mais si l’enregistrement n’existait pas déjà, c’est normalement instantanné il me semble)