Hoe kan ik DKIM instellen op mijn mail server thuis op eigen domein via Freedom?

PeterB · 5 mei 2022 om 07:48

Bij de test van mijn mailserver (home.mijn_domein_bij_freedom.nl) via internet.nl staat “DKIM aanwezigheid” op rood. De mailserver werkt zelf wel zoals verwacht.

Uit de uitleg op internet.nl maak ik op dat ik een TXT DNS record moet maken voor
_domainkey.home.mijn_domein_bij_freedom.nl

Uit DKIM inschakelen | Freedom maak ik op dat ik daar dan een kopie van de soverin informatie in zou moeten zetten, maar dat verhaal op de helpdesk pagina is erg vaag.
Zou volgens DMARC en DKIM activeren - #16 door Internetjunk ook moeten werken zo lijkt het.

In ieder geval werkt dat niet. Gisteravond zo ingesteld in de DNS settings en net gecontroleerd op internet.nl, maar “DKIM aanwezigheid” blijft rood.

Hoe los ik dat op?

patrick · 5 mei 2022 om 08:02

Heb je ook onderstaande dns record ook geprobeerd?
soverin._domainkey.<jouwdomein.nl>

Toevoeging:
Ik ben nog niet helemaal helder merk ik. Bovenstaande gaat natuurlijk op wanneer je gebruik maakt van de mail server van Freedom/Soverin.
Bij gebruik van een eigen mail server is de situatie anders.
Je zal DKIM ook je eigen mailserver moeten configureren. Een uitgebreide hands-on voor postfix kan je vinden op de site van sidn.

jcmraats · 5 mei 2022 om 09:04

Ik heb thuis een mailserver (postfix) draaien en haal op internet.nl 100%. Mijn certificaat heb ik gemaakt bij letsencrypt. Voor DKIM gebruik ik dkimproxy. Bij dat programma zit een uitgebreide beschrijving hoe je het moet installeren.
http://dkimproxy.sourceforge.net/

PeterB · 5 mei 2022 om 09:50

Ah de handleiding van freedom is dus niet voor je eigen server.
Dat verklaart veel.

Ik heb de mailserver nog niet op 100%, de webserver wel. Volgens mij heb ik alles van de webserver ook naar postfix gekopieerd, maar ik krijg nog steeds:

Ik mis ergens iets.

pe1chl · 5 mei 2022 om 10:30

Je moet wel bedenken dat de tests die internet.nl doet mbt DKIM alleen maar de DNS entries betreffen voor eventuele DKIM records. Ze testen niet of je mails daadwerkelijk wel met DKIM gesigned zijn!
Dus zolang dat rood is klopt er iets niet, maar als het groen is zegt dat nog niet dat je het ook werkend hebt.
Die meldingen mbt ciphers enzo dat heeft hier niets mee te maken, dat gaat over de TLS op je mailserver, niet over DKIM.
Ook zijn ze bij internet.nl een beetje overdreven kieskeurig. Prima om over van alles te klagen dat het niet optimaal is, maar als er geen oplossing voor is in standaard software en/of geen configuratie voorbeelden te vinden zijn van hoe het dan moet, dan laat ik het lekker zitten.
(bijvoorbeeld dat van de Cipher-volgorde en DH parameters)

jcmraats · 5 mei 2022 om 10:36

Hierbij een stukje van mijn main.cf

smtp_tls_loglevel =     1
smtp_tls_mandatory_protocols = >=TLSv1.2
smtp_tls_mandatory_ciphers = high
smtp_tls_ciphers =high
smtp_tls_protocols = >=TLSv1.2
smtp_tls_exclude_ciphers =
      EXP, LOW, MEDIUM,
      aNULL, eNULL, SRP, PSK, kDH, DH, kRSA, DHE, DSS, RC4, DES, IDEA, SEED, ARIA, CAMELLIA, AESCCM8, 3DES,
      ECDHE-ECDSA-AES256-SHA384, ECDHE-ECDSA-AES128-SHA256, ECDHE-RSA-AES256-SHA384, ECDHE-RSA-AES128-SHA256,
      MD5, SHA

en

smtpd_tls_loglevel =    1
smtpd_tls_mandatory_protocols = >=TLSv1.2
smtpd_tls_mandatory_ciphers = high
smtpd_tls_ciphers = high
smtpd_tls_protocols = >=TLSv1.2
smtpd_tls_exclude_ciphers =
      EXP, LOW, MEDIUM,
      aNULL, eNULL, SRP, PSK, kDH, DH, kRSA, DHE, DSS, RC4, DES, IDEA, SEED, ARIA, CAMELLIA, AESCCM8, 3DES,
      ECDHE-ECDSA-AES256-SHA384, ECDHE-ECDSA-AES128-SHA256, ECDHE-RSA-AES256-SHA384, ECDHE-RSA-AES128-SHA256,
      MD5, SHA

Voor DANE moet je een TLSA record aanmaken. Dat kan met een TLSA generator als op:

Dat TLSA record moet je weer in je DNS settings zetten.

Succes!

pe1chl · 5 mei 2022 om 14:22

Wat ik bedoel is: ik werk met “current” versies van openssl en Apache, met “SSLCipherSuite HIGH:!aNULL”, en dan nog komen er meldingen zoals bovenstaand.
Dan zeg ik: als jullie (internet.nl) het zoveel beter weten communiceer dat dan even met Apache foundation zodat niet de hele wereld het wiel moet uitvinden om aan jullie criteria te voldoen…

pe1chl · 6 mei 2022 om 17:53

Ja maar openssl wordt toch ook gesupport door de Apache foundation? Tenminste dat dacht ik wel.
Dus dat lijkt me de plek om dit soort dingen te melden.
Die “HIGH, !aNULL” wordt doorgegeven aan openssl en in de openssl config zie ik geen definitie daarvan dus ik denk dat dit in de code ingebakken zit. Dit kan ongetwijfeld nog vanuit de configfile overridden worden.
Maar waar het me om gaat: dit (Apache, openssl, sendmail, postfix, exim) is allemaal software die op miljoenen servers met “default settings” geinstalleerd staat, dus als je als internet politie denkt dat die default settings niet goed zijn, meld dat dan bij de bron. Als het daar gefixed wordt dan bereik je veel meer mensen dan door te proberen met zo’n checksite beheerders te bewegen het op HUN server aan te passen.
Plus dat ik het niet erg effectief vind om mensen het bos in te sturen met “je server dwingt geen cipher volgorde af”. Zet er dan meteen een link bij naar een pagina waar beschreven wordt hoe je dat fixed.
Nu worden mensen aan het googlen gezet en is er weer het risico dat ze een verouderd advies tegenkomen en gaan volgen. Immers bij die “toegestande ciphers lijst” was het vroeger gebruikelijk om dan een lijst met goede ciphers op te geven, die dan vervolgens in de loop der tijd allemaal slecht werden en zelfs als de software was geupdate werden er nog geen betere ciphers gebruikt want die waren immers niet geconfigureerd. Nu is er het betere advies “begin met HIGH en trek daar vanaf wat er niet goed is”, maar nog beter is natuurlijk “zorg dat HIGH de goede ciphers bevat die veilig zijn”, dan hoeft de config niet aangepast te worden en is er ook niet het risico dat er wat verprutst wordt.

pe1chl · 6 mei 2022 om 19:52

Daar ga je de wereld niet mee redden. Beter is het om met de realiteit om te gaan.

doverride · 11 mei 2022 om 19:02

Decentralizeren en gewoon je eigen mail server draaien. Je komt er vast wel uit met een beetje proberen.

doverride · 11 mei 2022 om 19:44

Weet je ik kom uit het milieu van beveiliging. En je zou zeggen, geen mail server draaien tenzij je er verstand van hebt. Maar weet je dat is kortzichtig. Stel je stelt een en ander verkeerd in (je moet tegenwoordig je best doen om je mail server zodanig in te stellen dat je er schade mee aanricht), dan nog: spam is heden ten dage slechts een nuisance. Ik kan er niet wakker van liggen.

Waar ik wel wakker van kan liggen is de drang om alles te centralizeren. Dat is een beveiliging en privacy probleem. We moeten zo veel mogelijk decentralizeren en vooral niet aan die cloud-nonsense toe geven.

Dus draai gewoon fijn je eigen mai server en live a little.

doverride · 11 mei 2022 om 20:30

Je, dat lijkt me vanzelfsprekend, maar dat geldt altijd.

system · 31 augustus 2022 om 11:43

Dit topic is 24 uur na het laatste antwoord automatisch gesloten. Nieuwe antwoorden zijn niet meer toegestaan.