A vueltas con DKIM

Posted on por

A vueltas con el DKIM, es un texto que dejo para seguir los pasos que voy dando y las explicaciones oportunas sobre porque falla y como lo resuelvo, si es que lo logro.

El escenario es un servidor donde hay otros dominios que SI resuelven bien DKIM, y tan solo uno de ellos se está negando a resolver la firma. De hecho voy a probar otro dominio por si la casualidad existe, no sea que realmente fallan todos, excepto uno.

Al tratarse del mismo servidor, mismo sendmail y misma configuración DNS, la cosa se complica. He generado de nuevo el DKIM pero no es eso, tras esperar unas horas a que se replique de forma correcta, sigue fallando.

Hago las pruebas de validez, enviando email a https://dkimvalidator.com y puedo comprobar si recibe correctamente la firma DKIM 

Retrieved this publickey from DNS: v=DKIM1; g=*; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCpeeqnCTHsa1mYhOfKM1uXNtzY4Yu7aSRa0bOkce8inBHr0xGpnyz26p2ax9Gwh7afSclFrc+o84W1o+no/vzAznEAxXEJs39CwXtfa/YQXMnIZPrhl+xYFTbC+hzjSRfexLu/+wfawnjyQG94iRz3X7+tlG5Ij7T8Sz4moM4FVwIDAQAB

Y es correcta, la misma que tengo en el DNS tras esperar un tiempo de replicación, de unas 2 horas máximo.

Validating Signature 
result = fail
Details: bad RSA signature

Y sin embargo esta generada de nuevo limpiamente. He probado con otro dominio, del mismo servidor y el resultado es pass ; osea que el problema, es solo en este, que raro suena. Pensé que podía faltar su entrada en el archivo keylist, pero no, estaba ahí.

Con palo de ciego veo que el SPF tiene declarada una ipv4 mal, es decir, un numero erróneo, lo corrijo con esperanza de que suene la flauta porque realmente digo que poco tendrá que ver el SPF de una IP mala que ademas no es la que esta enviando.

Una prueba nueva, sencilla de hacer, intercambio los datos de dos dominios, uno que funciona y el que falla, de forma que sustituyo en ambos las claves publicas y privadas en el directorio dkim-milter ademas de cambiar las publicas del DNS. Con esto veremos que pasa en ambos dominios. Se intercambian las situaciones ?

Pues no, lamentablemente, fallan los dos dominios. Vamos a ver si reponiendo la situación se vuelven a poner las cosas, al menos, como antes. De momento parece que el error esta en las KEYS generadas nuevas. Si repongo la antigua y funciona, será que el nuevo generador de claves es erróneo y habrá que anailizar el tipo de clave vs confgiuración del dkim que no cuadra bien.

De Locos, me quedo en blanco y resulta que solo tuve que relanzar el demonio dkim-milter para que todo se solucionara; eso si, previo quitar las lineas duplicadas y hasta triplicadas que había en el archivo keylist; que de hay venia el error.