Вопрос или проблема
Каковы потенциальные причины того, что проверка входящей (!) почты OpenDKIM устанавливает dkim=permerror в заголовке Authentication-Results для каждого входящего письма? Это включает те письма, которые проходят проверку, если я отправляю их на другой почтовый ящик, управляемый каким-то провайдером, который для них устанавливает dkim=pass. Так что я знаю, что только мой OpenDKIM считает, что эти электронные письма по каким-то причинам не проходят, и это касается всех отправителей отовсюду.
Мне сложно найти в интернете информацию о возможных причинах permerror.
И что может быть причиной отсутствия точного указания ошибки? Странно, но нет добавленных скобок, которые иногда упоминаются в интернете, например, permerror (no key), но мой OpenDKIM по какой-то причине этого не делает.
Конфигурация OpenDKIM, которую я использую, довольно короткая:
PidFile /var/run/opendkim/opendkim.pid
SignHeaders From,Sender,To,CC,Subject,Message-Id,Date
OversignHeaders From,Sender,To,CC,Subject,Message-Id,Date
AlwaysAddARHeader yes
Mode sv
UserID opendkim
ExternalIgnoreList <myemaildomain here>, localhost
InternalHosts <myemaildomain here>
KeyTable /etc/opendkim/KeyTable.txt
SigningTable refile:/etc/opendkim/SigningTable.txt
Я опустил файлы таблицы ключей и таблицы подписей, так как исходящая почта работает совершенно нормально, проблема только в проверке того, что мне отправляют другие.
Хотя меня интересует общий ответ, это конкретная версия OpenDKIM, которую я использую:
# opendkim -V
opendkim: OpenDKIM Filter v2.11.0
Compiled with OpenSSL 3.3.2 3 Sep 2024
SMFI_VERSION 0x1000001
libmilter version 1.0.1
Supported signing algorithms:
rsa-sha1
rsa-sha256
ed25519-sha256
Supported canonicalization algorithms:
relaxed
simple
libopendkim 2.11.0:
Ответ или решение
Причина возникновения ошибки dkim=permerror в заголовках Authentication-Results на всех входящих письмах, в то время как исходящие письма подписываются и получают проверки успешности без проблем, может вызывать серьезные трудности, особенно если все внешние почтовые серверы проходят проверку DKIM без ошибок. Проблема, связанная с OpenDKIM, может быть вызвана множеством факторов, некоторые из которых носят технический характер и требуют глубокого понимания DKIM и его конфигурации.
Теория
Флаг permerror в DKIM указывает на постоянную ошибку, которая обычно связана с неверной настройкой или отсутствием необходимой информации для успешной валидации DKIM-подписи. DKIM (DomainKeys Identified Mail) — это метод аутентификации электронной почты, который позволяет домену отправителя добавить цифровую подпись к отдельным заголовкам и телу сообщения, которую проверяет почтовый сервер получателя.
При проверке DKIM сервер получателя использует открытый ключ, опубликованный в DNS-записи отправителя, для проверки подписи. Если что-то на этой стадии идет не так, OpenDKIM выдает ошибку permerror.
Возможные примеры причины возникновения dkim=permerror
-
Отсутствие или недоступность DNS-записей: Самая распространенная причина постоянных ошибок — это недоступные или неправильно настроенные DNS-записи с открытым ключом. Если по каким-то причинам ваш OpenDKIM не может получить доступ к этим записям, может возникнуть ошибка
permerror. -
Неправильный формат DNS-записей DKIM: Даже если DNS-записи доступны, их форматирование может быть неправильно выполнено. Совсем небольшая ошибка, например, лишний пробел или неверный символ, может привести к тому, что сервер не сможет разобрать запись, что приведет к
permerror. -
Проблемы с разрешением DNS: Если ваш сервер использует устаревшие или неправильно настроенные DNS-клиенты, это тоже может быть причиной проблемы. Сервер может не иметь возможности корректно разрешить имя домена записи DKIM.
-
Превышение времени ожидания на разрешение DNS: Если речь идет о чрезмерных задержках в процессе разрешения DNS, сервер также может выдать
permerror. -
Конфликт внутренней конфигурации OpenDKIM: В вашей конфигурации OpenDKIM могут быть конфликты или ошибки. Например, ошибка может быть связана с неправильным указанием внутреннего хоста, из-за которого OpenDKIM считает все приходящие сообщения подозрительными.
Применение: как устранить проблему
-
Проверка доступности и правильности DNS-записей: Убедитесь, что все DNS-записи доступны и корректно настроены. Для этого вы можете использовать инструменты командной строки вроде
digдля проверки. Командаdig txt вашдомендолжна вывести актуальные записи DKIM, которые ваши входящие письма используют для проверки. -
Проверка конфигурации OpenDKIM: Проверьте конфигурационные файлы OpenDKIM на наличие ошибок. Особое внимание уделите переменным
ExternalIgnoreListиInternalHosts, так как они определяют, как ваш OpenDKIM будет обрабатывать входящие письма. Убедитесь, что все IP-адреса и домены корректно указаны. -
Обновление DNS-клиента или использование альтернатив: Если проблема заключается в вашем DNS-клиенте, попробуйте его обновить или сменить. Хорошей практикой является использование надежных публичных DNS-серверов, таких как Google Public DNS или Cloudflare DNS.
-
Включение более детализированного логирования: Настройте OpenDKIM на генерацию более детализированных логов, чтобы проще определить источник проблемы. Это делается через файл конфигурации, добавив уровень логирования
LogWhy Yes. -
Регулярное обновление системы и OpenDKIM: Поскольку вы используете относительно новую версию OpenDKIM, несоответствие в версиях OpenSSL или других компонентов системы также может сыграть роль. Обновление всех компонентов до последних стабильных версий способно устранить неожиданные проблемы совместимости.
Применив эти рекомендации, вы можете устранить причину возникновения dkim=permerror на входящих письмах. Понимание и настройка DKIM требуют тщательности, и профессиональный подход к диагностике этих ошибок позволит вам избежать дальнейших проблем в почтовой инфраструктуре.