Löser DKIM-fel i Gsuite via SMTP-relä

Daniel Marino

Måndag 3 juni 2024 16:54:19

Felsökning av DKIM-problem med Google Workspace
Att stöta på ett DKIM-fel i din Gsuite-e-postlösning kan vara frustrerande, särskilt när du använder en säker e-postgateway för att skanna utgående e-post. Det här problemet uppstår ofta när du ställer in en anpassad DKIM-nyckel i Gsuite, vilket leder till ett "dkim=neutral (body hash inte verifierad)"-resultat, som behandlas som ett misslyckande av mottagarna.
Att förstå hur DKIM fungerar i en konfiguration där Gmail skickar e-post till en säker e-postgateway (SEG) och sedan vidarebefordrar dem via Gmails SMTP-relä är avgörande. Den här artikeln syftar till att hjälpa dig att diagnostisera och lösa dessa DKIM-fel effektivt.

Kommando Beskrivning

dkim.verify Verifierar DKIM-signaturen för e-postmeddelandet med den medföljande DKIM-nyckeln.

dns.resolver.resolve Frågar DNS för TXT-posten som är kopplad till DKIM-nyckelväljaren och domänen.

message_from_bytes Analyserar ett e-postmeddelande från ett byteliknande objekt till ett e-postmeddelandeobjekt.

opendkim-genkey Genererar ett nytt DKIM-nyckelpar med en specificerad väljare och domän.

Canonicalization Ställer in DKIM-kanoniseringsmetoden för rubriker och brödtext (avslappnad/enkel).

SyslogSuccess Loggar framgångsrika DKIM-operationer till systemloggen för övervakning och felsökning.

Kommando	Beskrivning
dkim.verify	Verifierar DKIM-signaturen för e-postmeddelandet med den medföljande DKIM-nyckeln.
dns.resolver.resolve	Frågar DNS för TXT-posten som är kopplad till DKIM-nyckelväljaren och domänen.
message_from_bytes	Analyserar ett e-postmeddelande från ett byteliknande objekt till ett e-postmeddelandeobjekt.
opendkim-genkey	Genererar ett nytt DKIM-nyckelpar med en specificerad väljare och domän.
Canonicalization	Ställer in DKIM-kanoniseringsmetoden för rubriker och brödtext (avslappnad/enkel).
SyslogSuccess	Loggar framgångsrika DKIM-operationer till systemloggen för övervakning och felsökning.

Förstå DKIM-skript och deras funktionalitet

Python-skriptet som tillhandahålls hjälper till att verifiera DKIM-signaturer genom att extrahera e-postmeddelandets DKIM-huvud och fråga efter DNS för DKIM-nyckeln som är kopplad till domänen och väljaren. Det här skriptet använder funktion för att säkerställa att DKIM-signaturen är giltig, vilket är avgörande för att upprätthålla e-postintegritet och autenticitet. De kommandot frågar DNS för TXT-posten kopplad till DKIM-nyckeln, medan konverterar e-postmeddelandet från ett byte-liknande objekt till ett läsbart meddelandeformat.

Postfix-konfigurationsskriptet används för att ställa in DKIM-signering på en säker e-postgateway (SEG). Genom att installera och konfigurera OpenDKIM med lämpliga inställningar, som t.ex för DKIM-signaturen och för loggningsoperationer säkerställer skriptet att utgående e-postmeddelanden är korrekt signerade med DKIM-nyckeln. Bash-skriptet automatiserar processen att kontrollera och uppdatera DKIM DNS-poster, vilket gör det lättare att hantera DKIM-nycklar och se till att de är korrekt konfigurerade för din domän.

Lösa DKIM-fel i Gsuite med anpassade skript

Python-skript för att kontrollera DKIM-signaturer

import dkim
import dns.resolver
from email import message_from_bytes
def check_dkim(email_bytes):
    msg = message_from_bytes(email_bytes)
    dkim_header = msg['DKIM-Signature']
    domain = dkim_header.split('@')[1].split(' ')[0]
    selector = dkim_header.split('=')[1].split(';')[0]
    dns_response = dns.resolver.resolve(f'{selector}._domainkey.{domain}', 'TXT')
    dkim_key = dns_response[0].to_text().strip(' "')
    dkim.verify(email_bytes, dkim_key)
email_path = 'path/to/email.eml'
with open(email_path, 'rb') as f:
    email_bytes = f.read()
check_dkim(email_bytes)

Säkerställer korrekt DKIM-hantering genom Postfix

Postfix-konfiguration för DKIM-signering

sudo apt-get install opendkim opendkim-tools
sudo nano /etc/opendkim.conf
AutoRestart             Yes
AutoRestartRate         10/1h
Syslog                 yes
SyslogSuccess          Yes
LogWhy                 Yes
Canonicalization       relaxed/simple
Mode                   sv
SubDomains             no

Automatisk DKIM DNS-kontroll och uppdatering

Bash-skript för DNS-verifiering och DKIM-uppdatering

#!/bin/bash
DOMAIN="yourdomain.com"
SELECTOR="default"
DKIM_RECORD=$(dig TXT ${SELECTOR}._domainkey.${DOMAIN} +short)
if [[ -z "$DKIM_RECORD" ]]; then
  echo "DKIM record not found for $DOMAIN with selector $SELECTOR"
else
  echo "DKIM record for $DOMAIN: $DKIM_RECORD"
fi
sudo opendkim-genkey -s ${SELECTOR} -d ${DOMAIN}
sudo mv ${SELECTOR}.private /etc/opendkim/keys/${DOMAIN}/
sudo chown opendkim:opendkim /etc/opendkim/keys/${DOMAIN}/${SELECTOR}.private

Åtgärda DKIM-problem med e-postgateways

När du använder Google Workspace med en säker e-postgateway är ett vanligt problem att e-postmeddelandets innehåll ändras av gatewayen, vilket gör att DKIM-signaturen misslyckas med verifieringen. För att mildra detta, se till att gatewayen är konfigurerad för att bevara e-postmeddelandets kroppsintegritet. Ett annat tillvägagångssätt är att konfigurera gatewayen så att den signerar om e-postmeddelandet med organisationens DKIM-nyckel innan den når Gmails SMTP-relä.

Dessutom är det viktigt att förstå operationsordningen och var DKIM-signeringen sker. Om SEG ändrar e-postmeddelandet efter att det har undertecknats av Google, kan detta resultera i en felaktig överensstämmelse. Att konfigurera SEG för att hantera DKIM-nycklar på rätt sätt kan förhindra fel. Att säkerställa korrekt synkronisering mellan Google Workspace, SEG och SMTP-reläet är viktigt för att upprätthålla e-postintegriteten.

Varför misslyckas min DKIM-signatur efter att ha passerat genom SEG?
SEG kan ändra e-postinnehållet, vilket gör att body-hashen inte matchar. Se till att SEG inte ändrar e-postmeddelandet eller signerar om det med rätt DKIM-nyckel.
Kan jag använda flera DKIM-nycklar i den här installationen?
Ja, men det är viktigt att hantera vilka nyckeltecken e-postmeddelandet i varje steg för att förhindra konflikter.
Hur verifierar jag om min DKIM-inställning är korrekt?
Använd verktyg som eller i skript för att kontrollera DKIM-signaturens giltighet.
Vilken roll spelar Gmails SMTP-relä i DKIM-signering?
Den vidarebefordrar e-postmeddelandet till mottagaren och lägger eventuellt till ytterligare en DKIM-signatur om den är konfigurerad.
Hur kan jag säkerställa att min SEG inte ändrar e-postinnehåll?
Granska och justera SEG:s policyer och inställningar för att upprätthålla e-postkroppens integritet.
Vad är syftet med miljö?
Den anger hur e-postmeddelandets rubriker och brödtext normaliseras före signering, vilket kan påverka DKIM-valideringen.
Varför fungerar standardnyckeln för Google DKIM men inte min anpassade nyckel?
Den anpassade nyckeln kanske inte är korrekt konfigurerad eller sprids i DNS. Verifiera med DNS-verktyg.
Är det nödvändigt att ha DKIM-nycklar på både Google Workspace och SEG?
Inte nödvändigtvis, men att ha konsekventa DKIM-nycklar över båda kan förenkla felsökning och förbättra säkerheten.

Sista tankar om DKIM-konfigurationsutmaningar

Att lösa DKIM-fel i Google Workspace när du använder ett SMTP-relä och SEG innebär att förstå hur varje komponent interagerar. Det är viktigt att se till att SEG inte ändrar e-postinnehållet på ett sätt som ogiltigförklarar DKIM-signaturen. Att konfigurera både SEG och Google Workspace för att hantera DKIM-nycklar korrekt är avgörande för att upprätthålla integriteten och äktheten för utgående meddelanden.

Genom att följa de medföljande skripten och konfigurationerna kan du effektivt felsöka och lösa DKIM-problem. Att regelbundet verifiera din DKIM-inställning med hjälp av DNS-verktyg och e-postvaliderare hjälper till att upprätthålla ett säkert och pålitligt e-postsystem. Att säkerställa korrekt synkronisering mellan alla komponenter kommer att förhindra DKIM-fel och förbättra din e-postsäkerhet.