Resolvendo falha DKIM no Gsuite via retransmissão SMTP

Daniel Marino

Segunda-feira, 3 de junho de 2024 às 16:42:53

Solução de problemas de DKIM com o Google Workspace
Encontrar uma falha de DKIM em sua solução de e-mail Gsuite pode ser frustrante, especialmente ao usar um gateway de e-mail seguro para verificar e-mails enviados. Esse problema geralmente surge ao configurar uma chave DKIM personalizada no Gsuite, levando a um resultado "dkim = neutro (o hash do corpo não foi verificado)", que é tratado como uma falha pelos destinatários.
É crucial compreender como o DKIM funciona em uma configuração em que o Gmail envia e-mails para um gateway de e-mail seguro (SEG) e depois os retransmite por meio da retransmissão SMTP do Gmail. Este artigo tem como objetivo ajudá-lo a diagnosticar e resolver essas falhas de DKIM de maneira eficaz.

Comando Descrição

dkim.verify Verifica a assinatura DKIM do email usando a chave DKIM fornecida.

dns.resolver.resolve Consulta DNS para o registro TXT associado ao seletor de chave DKIM e ao domínio.

message_from_bytes Analisa uma mensagem de email de um objeto semelhante a bytes em um objeto de mensagem de email.

opendkim-genkey Gera um novo par de chaves DKIM com um seletor e um domínio especificados.

Canonicalization Define o método de canonização DKIM para cabeçalhos e corpo (relaxado/simples).

SyslogSuccess Registra operações DKIM bem-sucedidas no log do sistema para monitoramento e depuração.

Comando	Descrição
dkim.verify	Verifica a assinatura DKIM do email usando a chave DKIM fornecida.
dns.resolver.resolve	Consulta DNS para o registro TXT associado ao seletor de chave DKIM e ao domínio.
message_from_bytes	Analisa uma mensagem de email de um objeto semelhante a bytes em um objeto de mensagem de email.
opendkim-genkey	Gera um novo par de chaves DKIM com um seletor e um domínio especificados.
Canonicalization	Define o método de canonização DKIM para cabeçalhos e corpo (relaxado/simples).
SyslogSuccess	Registra operações DKIM bem-sucedidas no log do sistema para monitoramento e depuração.

Compreendendo os scripts DKIM e suas funcionalidades

O script Python fornecido ajuda a verificar assinaturas DKIM extraindo o cabeçalho DKIM do e-mail e consultando o DNS em busca da chave DKIM associada ao domínio e ao seletor. Este script usa o função para garantir que a assinatura DKIM seja válida, o que é crucial para manter a integridade e autenticidade do e-mail. O comando consulta DNS para o registro TXT vinculado à chave DKIM, enquanto converte o e-mail de um objeto semelhante a bytes em um formato de mensagem legível.

O script de configuração Postfix é usado para configurar a assinatura DKIM em um gateway de e-mail seguro (SEG). Ao instalar e configurar o OpenDKIM com as configurações apropriadas, como para a assinatura DKIM e para operações de registro, o script garante que os e-mails enviados sejam assinados corretamente com a chave DKIM. O script bash automatiza o processo de verificação e atualização dos registros DNS DKIM, facilitando o gerenciamento de chaves DKIM e garantindo que estejam configuradas corretamente para o seu domínio.

Resolvendo falhas de DKIM no Gsuite com scripts personalizados

Script Python para verificar assinaturas DKIM

import dkim
import dns.resolver
from email import message_from_bytes
def check_dkim(email_bytes):
    msg = message_from_bytes(email_bytes)
    dkim_header = msg['DKIM-Signature']
    domain = dkim_header.split('@')[1].split(' ')[0]
    selector = dkim_header.split('=')[1].split(';')[0]
    dns_response = dns.resolver.resolve(f'{selector}._domainkey.{domain}', 'TXT')
    dkim_key = dns_response[0].to_text().strip(' "')
    dkim.verify(email_bytes, dkim_key)
email_path = 'path/to/email.eml'
with open(email_path, 'rb') as f:
    email_bytes = f.read()
check_dkim(email_bytes)

Garantindo o manuseio adequado do DKIM por meio do Postfix

Configuração Postfix para assinatura DKIM

sudo apt-get install opendkim opendkim-tools
sudo nano /etc/opendkim.conf
AutoRestart             Yes
AutoRestartRate         10/1h
Syslog                 yes
SyslogSuccess          Yes
LogWhy                 Yes
Canonicalization       relaxed/simple
Mode                   sv
SubDomains             no

Verificação e atualização automatizada de DNS DKIM

Bash Script para verificação de DNS e atualização de DKIM

#!/bin/bash
DOMAIN="yourdomain.com"
SELECTOR="default"
DKIM_RECORD=$(dig TXT ${SELECTOR}._domainkey.${DOMAIN} +short)
if [[ -z "$DKIM_RECORD" ]]; then
  echo "DKIM record not found for $DOMAIN with selector $SELECTOR"
else
  echo "DKIM record for $DOMAIN: $DKIM_RECORD"
fi
sudo opendkim-genkey -s ${SELECTOR} -d ${DOMAIN}
sudo mv ${SELECTOR}.private /etc/opendkim/keys/${DOMAIN}/
sudo chown opendkim:opendkim /etc/opendkim/keys/${DOMAIN}/${SELECTOR}.private

Resolvendo problemas de DKIM com gateways de e-mail

Ao usar o Google Workspace com um gateway de e-mail seguro, um problema comum é a alteração do conteúdo do corpo do e-mail pelo gateway, fazendo com que a assinatura DKIM falhe na verificação. Para atenuar isso, certifique-se de que o gateway esteja configurado para preservar a integridade do corpo do email. Outra abordagem é configurar o gateway para assinar novamente o e-mail com a chave DKIM da organização antes que ele chegue à retransmissão SMTP do Gmail.

Além disso, é crucial compreender a ordem das operações e onde ocorre a assinatura DKIM. Se o SEG modificar o e-mail após ele ser assinado pelo Google, isso poderá resultar em incompatibilidade. Configurar o SEG para lidar adequadamente com chaves DKIM pode evitar falhas. Garantir a sincronização adequada entre o Google Workspace, o SEG e a retransmissão SMTP é essencial para manter a integridade do e-mail.

Por que minha assinatura DKIM falha após passar pelo SEG?
O SEG pode alterar o conteúdo do e-mail, fazendo com que o hash do corpo não corresponda. Certifique-se de que o SEG não modifique o e-mail ou o assine novamente com a chave DKIM correta.
Posso usar várias chaves DKIM nesta configuração?
Sim, mas é essencial gerenciar quais chaves assinam o e-mail em cada etapa para evitar conflitos.
Como posso verificar se minha configuração DKIM está correta?
Utilize ferramentas como ou em scripts para verificar a validade da assinatura DKIM.
Qual é a função da retransmissão SMTP do Gmail na assinatura DKIM?
Ele encaminha o e-mail para o destinatário, potencialmente adicionando outra assinatura DKIM, se configurada.
Como posso garantir que meu SEG não altere o conteúdo do email?
Revise e ajuste as políticas e configurações do SEG para manter a integridade do corpo do email.
Qual é o propósito do contexto?
Ele especifica como os cabeçalhos e o corpo do e-mail são normalizados antes da assinatura, o que pode afetar a validação DKIM.
Por que a chave DKIM padrão do Google funciona, mas não a minha chave personalizada?
A chave personalizada pode não estar configurada ou propagada corretamente no DNS. Verifique com ferramentas DNS.
É necessário ter chaves DKIM no Google Workspace e no SEG?
Não necessariamente, mas ter chaves DKIM consistentes em ambos pode simplificar a solução de problemas e aumentar a segurança.

Considerações finais sobre os desafios de configuração do DKIM

Resolver falhas de DKIM no Google Workspace ao usar uma retransmissão SMTP e SEG envolve entender como cada componente interage. É essencial garantir que o SEG não altere o conteúdo do email de forma que invalide a assinatura DKIM. Configurar o SEG e o Google Workspace para lidar adequadamente com as chaves DKIM é crucial para manter a integridade e a autenticidade das mensagens enviadas.

Seguindo os scripts e configurações fornecidos, você pode solucionar e resolver problemas de DKIM com eficácia. A verificação regular da configuração do DKIM usando ferramentas DNS e validadores de e-mail ajudará a manter um sistema de e-mail seguro e confiável. Garantir a sincronização adequada entre todos os componentes evitará falhas de DKIM e aumentará a segurança do seu e-mail.