使用sendmail+ dkim=fail调试dkim=fail

Question

我正在使用sendmail设置一个CentOS服务器来发送DKIM签名的邮件(发送域是@brighter.do)。我已经成功地通过dkim路由邮件；但是，它们到达我的GMail帐户时具有dkim=fail身份验证结果，没有进一步的信息。我如何开始调试这个(除了谷歌‘调试失败的dkim’和其他类似的相关术语)？

我使用了这些指令中描述的配置。我所做的唯一附加配置更改是将我的应用程序用户添加到/etc/mail/trusted-users，将EXTRA_FLAGS=-R添加到/etc/sysconfig/dkim-milter，并将规范化切换到relaxed/relaxed (这似乎没有改变任何事情)。我已经验证了使用ssh-keygen -l -f app1的密钥是2048位。(看起来太小的密钥会导致GMail拒绝有效的DKIM签名，但这似乎不是我的问题。)

我的相关DNS记录的内容如下：

APP1._DOMAINKEY.BRIGHTER.DO. TXT k=rsa; p=AAAAB3NzaC1yc2EAAAADAQABAAABAQC3pJ4UJW/KBQ2D6N/6kl37yqJ0F4NcKPGApyHw4wl2zohdOPp8rELvQnRgvmQUMu3hrgicD9W9LbnGx/CzakZAA4RcJk9kI51v+Y8L5j3lZURFC1ZIXoRFgfafyo31XN3rc+V0hNMXUGcxVI09oYtyS+2AuC9cULP4Nu030I3yYFd2NOwmKPY57PU3ybwGKEvuWsB/9PyWC6KVlULlkg7TB
APP1._DOMAINKEY.BRIGHTER.DO. TXT CwbMnGyavwIeoJpNlb1fINdDGWDAJvfTTpMGvIkQAehknbgBqL4IgciWQ/2xw6bMhma7MRJHzZsd7JfbNramQIpsxX6hZUkZja6HpoFJzBi1vbnLcM2n8Xhat/A1Q/F
_DOMAINKEY.BRIGHTER.DO. TXT o=~ r=angela@brighter.do

我得到的标题是：

Delivered-To: angela@brighter.do
Received: by 10.140.42.166 with SMTP id c35csp248278qga;
        Wed, 23 Mar 2016 14:10:12 -0700 (PDT)
X-Received: by 10.98.72.213 with SMTP id q82mr7347661pfi.164.1458767412258;
        Wed, 23 Mar 2016 14:10:12 -0700 (PDT)
Return-Path: <info@brighter.do>
Received: from DUALSTACK.PROD-API-478862527.US-WEST-2.ELB.AMAZONAWS.COM (outbound.brighter.do. [54.201.111.245])
        by mx.google.com with ESMTPS id m22si6801929pfi.43.2016.03.23.14.10.12
        for <angela@brighter.do>
        (version=TLS1_2 cipher=ECDHE-RSA-AES128-GCM-SHA256 bits=128/128);
        Wed, 23 Mar 2016 14:10:12 -0700 (PDT)
Received-SPF: pass (google.com: domain of info@brighter.do designates 54.201.111.245 as permitted sender) client-ip=54.201.111.245;
Authentication-Results: mx.google.com;
       dkim=fail header.i=@brighter.do;
       spf=pass (google.com: domain of info@brighter.do designates 54.201.111.245 as permitted sender) smtp.mailfrom=info@brighter.do
Received: from DUALSTACK.PROD-API-478862527.US-WEST-2.ELB.AMAZONAWS.COM (localhost [127.0.0.1])
    by DUALSTACK.PROD-API-478862527.US-WEST-2.ELB.AMAZONAWS.COM (8.14.4/8.14.4) with ESMTP id u2NLAB8k007870
    for <angela@brighter.do>; Wed, 23 Mar 2016 21:10:11 GMT
X-DKIM: Sendmail DKIM Filter v2.8.3 DUALSTACK.PROD-API-478862527.US-WEST-2.ELB.AMAZONAWS.COM u2NLAB8k007870
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=brighter.do; s=app1;
    t=1458767411; bh=HiluaVoCYKZyFY1h3gE73EqhCFuKBJzE8SqwhrLX5/c=;
    h=Date:Message-Id:To:Subject:MIME-Version:From;
    b=RfNNbBaAUNX+y3cdSqb+NkgC8GHa0wd/vV4LC72DQ8jbSWIHfqxZD6Qi3xGtKVnyU
     2j9FDAtI7X1B7dsPuFIw9F5m+1YoFuV+/3vCQ/zsXxCoExwml7DrxnYuWI0e5MeKma
     3K4T+R/tpNgKYVSU00RNCorLsvyia/fD8+wFTY4ZyoYOTZ4tK6gwcO4loPERiPAAOL
     HI11YagXgreCk3efJXanF8Df9ALLmTZMjMLXHHIHnSsypzhtEXYmua+EWQEZzIiVis
     paAmh9w8sRfeFww4PraRN7Caxznm51ZUIecdST29xRL276LsEgb5Nsy6TIEJyOov/N
     7AilYKXwuotHg==
Received: (from ec2-user@localhost)
    by DUALSTACK.PROD-API-478862527.US-WEST-2.ELB.AMAZONAWS.COM (8.14.4/8.14.4/Submit) id u2NLABrt007869;
    Wed, 23 Mar 2016 21:10:11 GMT
Date: Wed, 23 Mar 2016 21:10:11 GMT
Message-Id: <201603232110.u2NLABrt007869@DUALSTACK.PROD-API-478862527.US-WEST-2.ELB.AMAZONAWS.COM>
To: angela@brighter.do
Subject: Test message
X-PHP-Originating-Script: 500:PushComponent.php
MIME-Version: 1.0
From: Brighter <info@brighter.do>

注意:由于我对电子邮件管理几乎一无所知，所以我可能在这里遗漏了一些关键细节。在这种情况下，请帮助我改进问题，提到什么额外的信息将是有用的-例如，其他配置文件包括在内。

Answer 1

我知道这个问题已经有两个月的历史了，但它是谷歌搜索结果的第一名，所以我认为它应该得到一个答案。

我不知道你的第二和第三条TXT条目是干什么用的。我现在的DKIM正常工作，我只有一个TXT条目，类似于您的第一个条目。

在Ubuntu上设置DKIM时，我遵循了数字海洋的指示，但它没有立即正常工作。我发现此页在调试我的DKIM问题时非常有用。

要验证您的DNS TXT条目是否正确读取，请在linux命令行上键入以下命令：

dig +short TXT APP1._domainkey.brighter.do

我使用GoDaddy进行DNS，我不需要域名作为我的域键字符串的一部分。相反，我只需要name字段中的子域部分，如下所示：

mail._domainkey

(我使用"mail“而不是"app1”来指定域密钥。)

我希望这对任何有类似问题的人都有帮助。一旦您使DKIM正常工作，您就会意识到这并没有那么令人困惑。祝好运!

Answer 2

问题是，您有3个DNS记录，而不是一个，并且没有使用括号。

dig +short TXT APP1._domainkey.brighter.do
" v=DKIM1\; k=rsa\; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAt6SeFCVvygUNg+jf+pJd+8qidBeDXCjxgKch8OMJds6IXTj6fKxC70J0YL5kFDLt4a4InA/VvS25xsfws2pGQAOEXCZPZCOdb/mPC+Y95WVERQtWSF6ERYH2n8qN9Vzd63PldITTF1BnMVSNPaGLckvtgLgvXFCz+DbtN9CN8mBXdjTsJij2Oez1N8m8Bi" "hL7lrAf/T8lguilZVC5ZIO0wQsGzJxsmr8CHqCaTZW9XyDXQxlgwCb3006TBryJEAHoZJ24Aai+CIHIlkP9scOmzIZmuzESR82bHeyX2za2pkCKbMV+oWVJGY2uh6aBScwYtb25y3DNp/F4WrfwNUPxQIDAQAB"

现在您可以看到有一个带有两个字符串的条目"“。当添加DKIM记录时，请记住一行是255个字符。我试着把所有的内容放在一起，并想知道为什么DKIM在谷歌失败了。在一些网络小组中，你被限制在255个字符。诀窍是使用括号。检查系统是否正在删除它们。像OVH这样的好的提供者对于DKIM记录有一个特殊的输入选项。当您查看门冬氨酸和按照debian设置指南时，会注意到可以用来设置dns记录的txt文件。它们还包含括号。

还有一个想法:查看dmarc报告，始终测试哪个选择器。比如谷歌，会在报告中告诉你。我用另一个选择器创建了dkim。