Hoe kan ik DKIM instellen op mijn mail server thuis op eigen domein via Freedom?

Bij de test van mijn mailserver (home.mijn_domein_bij_freedom.nl) via internet.nl staat “DKIM aanwezigheid” op rood. De mailserver werkt zelf wel zoals verwacht.

Uit de uitleg op internet.nl maak ik op dat ik een TXT DNS record moet maken voor
_domainkey.home.mijn_domein_bij_freedom.nl

Uit DKIM inschakelen | Freedom maak ik op dat ik daar dan een kopie van de soverin informatie in zou moeten zetten, maar dat verhaal op de helpdesk pagina is erg vaag.
Zou volgens DMARC en DKIM activeren - #16 door Internetjunk ook moeten werken zo lijkt het.

In ieder geval werkt dat niet. Gisteravond zo ingesteld in de DNS settings en net gecontroleerd op internet.nl, maar “DKIM aanwezigheid” blijft rood.

Hoe los ik dat op?

Heb je ook onderstaande dns record ook geprobeerd?
soverin._domainkey.<jouwdomein.nl>

Toevoeging:
Ik ben nog niet helemaal helder merk ik. Bovenstaande gaat natuurlijk op wanneer je gebruik maakt van de mail server van Freedom/Soverin.
Bij gebruik van een eigen mail server is de situatie anders.
Je zal DKIM ook je eigen mailserver moeten configureren. Een uitgebreide hands-on voor postfix kan je vinden op de site van sidn.

Ik heb thuis een mailserver (postfix) draaien en haal op internet.nl 100%. Mijn certificaat heb ik gemaakt bij letsencrypt. Voor DKIM gebruik ik dkimproxy. Bij dat programma zit een uitgebreide beschrijving hoe je het moet installeren.
http://dkimproxy.sourceforge.net/

Ah de handleiding van freedom is dus niet voor je eigen server.
Dat verklaart veel.

Ik heb de mailserver nog niet op 100%, de webserver wel. Volgens mij heb ik alles van de webserver ook naar postfix gekopieerd, maar ik krijg nog steeds:

image

image

image

image

Ik mis ergens iets.

Je moet wel bedenken dat de tests die internet.nl doet mbt DKIM alleen maar de DNS entries betreffen voor eventuele DKIM records. Ze testen niet of je mails daadwerkelijk wel met DKIM gesigned zijn!
Dus zolang dat rood is klopt er iets niet, maar als het groen is zegt dat nog niet dat je het ook werkend hebt.
Die meldingen mbt ciphers enzo dat heeft hier niets mee te maken, dat gaat over de TLS op je mailserver, niet over DKIM.
Ook zijn ze bij internet.nl een beetje overdreven kieskeurig. Prima om over van alles te klagen dat het niet optimaal is, maar als er geen oplossing voor is in standaard software en/of geen configuratie voorbeelden te vinden zijn van hoe het dan moet, dan laat ik het lekker zitten.
(bijvoorbeeld dat van de Cipher-volgorde en DH parameters)

Hierbij een stukje van mijn main.cf

smtp_tls_loglevel =     1
smtp_tls_mandatory_protocols = >=TLSv1.2
smtp_tls_mandatory_ciphers = high
smtp_tls_ciphers =high
smtp_tls_protocols = >=TLSv1.2
smtp_tls_exclude_ciphers =
      EXP, LOW, MEDIUM,
      aNULL, eNULL, SRP, PSK, kDH, DH, kRSA, DHE, DSS, RC4, DES, IDEA, SEED, ARIA, CAMELLIA, AESCCM8, 3DES,
      ECDHE-ECDSA-AES256-SHA384, ECDHE-ECDSA-AES128-SHA256, ECDHE-RSA-AES256-SHA384, ECDHE-RSA-AES128-SHA256,
      MD5, SHA

en

smtpd_tls_loglevel =    1
smtpd_tls_mandatory_protocols = >=TLSv1.2
smtpd_tls_mandatory_ciphers = high
smtpd_tls_ciphers = high
smtpd_tls_protocols = >=TLSv1.2
smtpd_tls_exclude_ciphers =
      EXP, LOW, MEDIUM,
      aNULL, eNULL, SRP, PSK, kDH, DH, kRSA, DHE, DSS, RC4, DES, IDEA, SEED, ARIA, CAMELLIA, AESCCM8, 3DES,
      ECDHE-ECDSA-AES256-SHA384, ECDHE-ECDSA-AES128-SHA256, ECDHE-RSA-AES256-SHA384, ECDHE-RSA-AES128-SHA256,
      MD5, SHA

Voor DANE moet je een TLSA record aanmaken. Dat kan met een TLSA generator als op:

Dat TLSA record moet je weer in je DNS settings zetten.

Succes!

1 like

Die volgorde is opzich wel relevant, sterkste moeten eerst, en server moet kiezen welke het wordt.
DH-parameters zijn voor die paar DH ciphers eigenlijk vrij simpel, men raadt aan die gewoon te downloaden – dat scheelt een hoop tijd.

Wat ik bedoel is: ik werk met “current” versies van openssl en Apache, met “SSLCipherSuite HIGH:!aNULL”, en dan nog komen er meldingen zoals bovenstaand.
Dan zeg ik: als jullie (internet.nl) het zoveel beter weten communiceer dat dan even met Apache foundation zodat niet de hele wereld het wiel moet uitvinden om aan jullie criteria te voldoen…

Nou, eerder met de OpenSSL jongens. Dat HIGH, !aNULL is niet iets specifieks for Apache. Een setje van ciphers die op dit moment gangbaar lijken te zijn kun je bijvoorbeeld bij mozilla vinden: Security/Server Side TLS - MozillaWiki. internet.nl is daar bij mij 100% tevreden mee (Intermediate set).

Ja maar openssl wordt toch ook gesupport door de Apache foundation? Tenminste dat dacht ik wel.
Dus dat lijkt me de plek om dit soort dingen te melden.
Die “HIGH, !aNULL” wordt doorgegeven aan openssl en in de openssl config zie ik geen definitie daarvan dus ik denk dat dit in de code ingebakken zit. Dit kan ongetwijfeld nog vanuit de configfile overridden worden.
Maar waar het me om gaat: dit (Apache, openssl, sendmail, postfix, exim) is allemaal software die op miljoenen servers met “default settings” geinstalleerd staat, dus als je als internet politie denkt dat die default settings niet goed zijn, meld dat dan bij de bron. Als het daar gefixed wordt dan bereik je veel meer mensen dan door te proberen met zo’n checksite beheerders te bewegen het op HUN server aan te passen.
Plus dat ik het niet erg effectief vind om mensen het bos in te sturen met “je server dwingt geen cipher volgorde af”. Zet er dan meteen een link bij naar een pagina waar beschreven wordt hoe je dat fixed.
Nu worden mensen aan het googlen gezet en is er weer het risico dat ze een verouderd advies tegenkomen en gaan volgen. Immers bij die “toegestande ciphers lijst” was het vroeger gebruikelijk om dan een lijst met goede ciphers op te geven, die dan vervolgens in de loop der tijd allemaal slecht werden en zelfs als de software was geupdate werden er nog geen betere ciphers gebruikt want die waren immers niet geconfigureerd. Nu is er het betere advies “begin met HIGH en trek daar vanaf wat er niet goed is”, maar nog beter is natuurlijk “zorg dat HIGH de goede ciphers bevat die veilig zijn”, dan hoeft de config niet aangepast te worden en is er ook niet het risico dat er wat verprutst wordt.

Tja … ik denk dat als je geen beheerder wil zijn, of geen beheerdersverantwoordelijkheid wil dragen, je ook beter geen publieke servers/services kan neerzetten. Je ziet hier al hoeveel moeite Freedom zelf heeft om bijvoorbeeld security certificaatjes up-to-date te houden. Dat vereist gewoon expertise en aandacht. Fluitje van een cent voor de doorgewinterde sysadmin/engineer, oopsie voor de meeste andere mensen. De manier waarop distributies omgaan met software is nogal verschillend, dus er is zowieso niet één antwoord als het gaat om “hoe je het moet doen”. Als je je niet wil verdiepen in hoe en wat, moet je er hoogstwaarschijnlijk niet mee op het internet zitten. Wat internet.nl doet, is erg informatief als je begrijpt wàt ze doen. Hun evaluatie is verder ook echt geen keiharde vereiste om mee te mogen doen ofzo. Ze zitten eerder op het vlak van de “ideale wereld”, en of die wereld voor jou realistisch is, is weer afhankelijk van je wat je eigenlijk doet, en hoe belangrijk het is dat mensen je website kunnen openen. Over het algemeen zie je in de praktijk: geld verdienen >> idealisme (hoogste veiligheidstandaarden). Ik denk dat internet.nl simpelweg niet voor jou bedoeld is.

Mocht je geïnteresseerd zijn, zoek ook even openssl en apache foundation op. Kijk misschien ook even naar gnutls en voor de grap naar libressl en wolfssl. En als je dan toch bezig bent, kijk ook even naar nginx. De “license” is hier onder andere interessant, en verklaart bepaalde combinaties van software die je soms tegenkomt.

1 like

Daar ga je de wereld niet mee redden. Beter is het om met de realiteit om te gaan.

Ja, precies, dus kappen nou met die botnets.

Decentralizeren en gewoon je eigen mail server draaien. Je komt er vast wel uit met een beetje proberen.

Weet je ik kom uit het milieu van beveiliging. En je zou zeggen, geen mail server draaien tenzij je er verstand van hebt. Maar weet je dat is kortzichtig. Stel je stelt een en ander verkeerd in (je moet tegenwoordig je best doen om je mail server zodanig in te stellen dat je er schade mee aanricht), dan nog: spam is heden ten dage slechts een nuisance. Ik kan er niet wakker van liggen.

Waar ik wel wakker van kan liggen is de drang om alles te centralizeren. Dat is een beveiliging en privacy probleem. We moeten zo veel mogelijk decentralizeren en vooral niet aan die cloud-nonsense toe geven.

Dus draai gewoon fijn je eigen mai server en live a little.

Tuurlijk, maar als je dat doet moet je niet de verantwoordelijkheid daarvoor bij een ander gaan leggen. “Own it.”

Je, dat lijkt me vanzelfsprekend, maar dat geldt altijd.