[DKIM] Handtekeningverificatie mislukt na doorsturen

Pagina: 1
Acties:

Vraag


  • nescafe
  • Registratie: Januari 2001
  • Nu online
Situatie: eigen domein met SpamExperts filtering bij een hoster, mail wordt na filtering doorgestuurd (met SRS) naar Gmail en Synology MailPlus Server.

Ik ben aan het onderzoeken waarom bepaalde berichten van de Makro niet aankomen bij Gmail.

Het gaat specifiek om de berichten die via MailJet worden verstuurd (afzender xxxxx.xxxxx-xxxxx_xxxxx@xxxx.mailjet.com):
  • xxxxx – Makro Verificatiecode (bij het inloggen zonder wachtwoord of vanaf een onbekende locatie)
  • Maak nu je Makro-pas aan voor xxxxx
De foutmelding die Gmail geeft:
code:
1
2
3
4
5
5.7.26 Unauthenticated email from makro.nl is not accepted due to domain's
5.7.26 DMARC policy. Please contact the administrator of makro.nl domain if
5.7.26 this was a legitimate mail. To learn about the DMARC initiative, go
5.7.26 to
5.7.26  https://support.google.com/mail/?p=DmarcRejection xxxxx-xxxxx.xx - gsmtp
Synology MailPlus server accepteert de mails wel maar geeft een waarschuwing:

⚠ This appears to be a suspicious email. Please approach with caution when replying or handling the links and attachments, and verify the mail source email.makro.nl.
code:
1
2
3
4
X-Synology-DKIM: spam
Authentication-Results: mail.xxxxx;
    dkim=fail reason="signature verification failed" (1024-bit key) header.d=email.makro.nl header.i=no-reply@email.makro.nl header.b=Wz+VPkxa
X-DKIM-Failure: signature_incorrect
Nu ben ik erachter dat in de doorgestuurde berichten de "X-Report-Abuse-To"-header meermaals voorkomt en dat deze header onderdeel uitmaakt van de DKIM-signature:
code:
1
2
3
4
5
6
7
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; q=dns/txt;
  d=email.makro.nl; i=no-reply@email.makro.nl; s=mailjet; t=1784202379; x=1784209579;
  h=Message-Id: SenderEmail: SenderName: From: To: Subject: Date:
   List-Unsubscribe-Post: List-Unsubscribe: Feedback-Id:
   X-CSA-Complaints: X-MJ-Mid: X-REPORT-ABUSE-TO:
   MIME-Version: Content-Type: To: From: Sender: Subject:
   Date;
Regel 5: X-REPORT-ABUSE-TO

Namelijk, in volgorde van voorkomen:
code:
1
2
3
4
5
6
X-REPORT-ABUSE-TO: Message sent by Mailjet please report to
    abuse@mailjet.com with a copy of the message
[...]
X-Report-Abuse-To: spam@filter101.mijn.host
[...]
X-Report-Abuse-To: spam@filter101.mijn.host
Volgens RFC6376 is, bij meerdere voorkomens van een header, de laatste header relevant:
Signers choosing to sign an existing header field that occurs more
than once in the message (such as Received) MUST sign the physically
last instance of that header field
in the header block.
Dit heb ik getest en inderdaad, zodra ik eerste en de laatste header verwissel is de handtekening correct:
code:
1
2
3
4
5
6
X-Report-Abuse-To: spam@filter101.mijn.host
[...]
X-Report-Abuse-To: spam@filter101.mijn.host
[...]
X-REPORT-ABUSE-TO: Message sent by Mailjet please report to
    abuse@mailjet.com with a copy of the message
Nu is mijn vraag als volgt, wie moet ik hierop aanspreken?

SpamExperts voegt headers to aan de mail die onderdeel uitmaken van de DKIM-signature, dus moet ik mijn provider hierop aanspreken, of;
MailJet moet de deze header geen onderdeel laten uitmaken van de DKIM-signature en zich beperken tot de Recommended Signature Content

Iemand hier al eens tegenaan gelopen? Iemand een idee?

* Barca zweert ook bij fixedsys... althans bij mIRC de rest is comic sans

Alle reacties


  • Qwerty-273
  • Registratie: Oktober 2001
  • Laatst online: 17:16

Qwerty-273

Meukposter

***** ***

De header "X-REPORT-ABUSE-TO" is volgens mij een custom header - ie een non-standard header. Het is de vraag of je die tot de "core" van de content wilt trekken of niet. Persoonlijk zou ik dat niet doen. En daarmee zou je bij MailJet moeten aankloppen om dat aan te laten passen.

Stukje 5.4.1:
   The purpose of the DKIM cryptographic algorithm is to affix an
   identifier to the message in a way that is both robust against normal
   transit-related changes and resistant to kinds of replay attacks.  An
   essential aspect of satisfying these requirements is choosing what
   header fields to include in the hash and what fields to exclude.

   The basic rule for choosing fields to include is to select those
   fields that constitute the "core" of the message content.  Hence, any
   replay attack will have to include these in order to have the
   signature succeed; however, with these included, the core of the
   message is valid, even if sent on to new recipients.
Aan de andere kant, aangezien MailJet een marketingmaildienst is zullen ze dat wel tot hun core willen rekenen zodat ze zeker weten dat marketing mail niet zomaar verder verspreid wordt en wellicht aangemerkt wordt als spam ergens later in de flow. Dat kan weer schade brengen aan de reputatie van hun mail platform, impact hebben op de successrate van maildelivery en daarmee impact op hun inkomsten.

Erzsébet Bathory | Strajk Kobiet | You can lose hope in leaders, but never lose hope in the future.


  • nescafe
  • Registratie: Januari 2001
  • Nu online
Ik heb bij MailJet een bericht gestuurd in verband met het (te) ijverig signen van de headers met verwijziging naar paragraaf 5.4.1. Voor de authenticiteit van de e-mail maak het volgens mij niet veel uit of de X-headers mee worden gesigneerd.. Juist de deliverability gaat erop achteruit (vraag me af of ik de enige ben die dat merkt?)

Daarnaast vind ik het ook wel een verantwoordelijkheid van SpamExperts; ik snap de urge om een "X-Report-Abuse-To"-header toe te voegen (vanuit een "being a good citizen"-aspect), maar die zou geen reeds getekende e-mail moeten invalideren. Alleen kan ik daar niet direct mee communiceren zonder klantrelatie.

* Barca zweert ook bij fixedsys... althans bij mIRC de rest is comic sans