Email vanuit Google GSuite van domein krijgt DKIM error (Key not found in DNS)

Beste Community,

 

Ik heb een probleem waar ik niet meer uit kom en van Ziggo geen duidelijke oplossing ontvang.

Ik verstuur vanuit het domein BenthuizerTennis.Club via Google Workplace een mail naar mijn Ziggo mail adres. Deze komt in de spam terecht.

 

Het domein BenthuizerTennis.Club heeft de benodigde MX record, DKIM voor Google Workplace en SPF.

Daarnaast kan ook vanuit het domein worden gemaild met eigen DKIM en SPF.

 

In de header wordt aangegeven:
Authentication-Results: mail.iss.as9143.net;
 spf=pass (209.85.221.50;benthuizertennis.club);
 dkim=fail header.d=benthuizertennis.club (key not found in DNS);
 ??
 
Vanuit Ziggo krijg ik als antwoord: Deze misl worden als spam gezien omdat de mail configuratie van het domein benthuizertennis.club niet op order is, zie bijvoorbeeld: https://mxtoolbox.com/emailhealth/benthuizertennis.club/
Hierin komt het volgende naar voren:
Schermafbeelding 2021-02-22 204944.png
 
DMARC Quarantine/reject zou niet mogen uitmaken. Reverse DNS bij mx records voor Google bestaat volgens mij niet.
 
Dan blijft over de melding SOA Serial number format is invalid.
Ik weet niet hoe ik de SOA Serial number zou moeten herstellen en welke vraag ik aan de hosting partij moet vragen.
 
Ik hoop dat jullie me kunnen helpen.
 
Met vriendelijke groeten,
 
Mike Reumer
Reumer
Gedreven Ontdekker
  • 6Reacties
  • 0Oplossingen
  • 0Likes
7 Reacties 7

Er zit iets niet goed met DKIM. Je geeft het zelf al aan:
dkim=fail header.d=benthuizertennis.club (key not found in DNS);

 

Je moet het dus zoeken in de DNS records. Daar zit normaal gesproken een TXT record in voor DKIM. Dat heeft in jullie geval het volgende format:

d._domainkey.benthuizertennis.club. Dat hoort de publieke sleutel te bevatten voor de DKIM ondertekening. Voor zover ik kan nagaan staat daar bij jullie een verwijzing in naar "knltbclubsites-prd.azurewebsites.net"

 

Je geeft aan Google te gebruiken, terwijl er in de domainkey dus een verwijzing naar iets van de knltb bij Azure staat. Dat klopt dan niet. Zorg dat hier de juiste DKIM sleutel komt te staan:

 

Even als voorbeeld: Ziggo gebruikt de domainkey 202002corplgsmtpnl. Die verwijst naar 202002corplgsmtpnl._domainkey.ziggo.nl en daar vind je dan de DKIM key: "v=DKIM1;k=rsa;p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEArg5ecyPN5qXKqt494MxiksI9H/lGMBeKpLj9GpIotPOJkIcVuKofpTws/ncbN8NuV9oMk6CrViZ/exVqkPe5wAUwijmr8Tpup9CAB3OJC35311Tjv8ljEPi31EBN9dbBUU6HxtKg975LsKqxqJPSKLh2x4dh0yv1wUW+QHyYQhzibAVEtYDNHXDcZr6REmSuKVv" "UzZJib/EhteNxLREEdvzeCax2jwj6KkwUS14ZAbA2XNMfwYa+p/VxDTUZD86U927kI+ZXct1GbUWWt01oMDZRK2LvTHg68wLbJ7vj6mssMb8ioCOlj6nadHTCtr+qEZgvidApOPnedPXM/jsGeQIDAQAB"

 

Deze kun jij niet gebruiken natuurlijk, maar het is even voorbeeld hoe het eruit zou moeten zien.

efok
Expert
Expert
  • 2929Reacties
  • 151Oplossingen
  • 924Likes

Beste Efok,

 

Hartelijk dank voor de reactie.

 

De DKIM: benthuizertennis.club:google
staat in DNS en kan succesvol worden opgevraagd:

Reumer_0-1614097329766.png

 

We maken naast Google Workplace gebruik van een pakket (gelieerd aan KNLT

Omdat er gemaild wordt vanuit deze tweede locatie, is er een tweede DKIM aanwezig:
benthuizertennis.club:8d8c83b7c07c75f

en kan ook succesvol worden opgevraagd:

Reumer_1-1614097814550.png

 

Dus de DKIMs zijn volgens mij goed ingesteld. 

 

Ik weet niet waar dit dan fout gaat, want meerdere DKIMs is toegestaan.

Wat is er dan verkeerd of aan de hand?

 

Met vriendelijke groeten,

 

Mike Reumer

 

Reumer
topicstarter
Gedreven Ontdekker
  • 6Reacties
  • 0Oplossingen
  • 0Likes

@Reumer Ik zat er ook even naast omdat ik je foutmelding las als dat d. de selector was, maar deze verwijst natuurlijk naar het domein. Sorry.
In ieder geval zijn we wel een stapje verder omdat je aangeeft dat je 2 DNS records met DKIM sleutels hebt geconfigureerd. Dat kan zeker. Je geeft nu ook aan wat de selectors zijn. Mooi.
Nu ik je eerdere bijlage nog eens goed bekijk zie ik dat er gebruik gemaakt wordt van de selector google, en deze is inderdaad opvraagbaar uit je DNS records, zoals je zelf ook aan geeft.
Ik ben het spoor nu even bijster. Ik kan het bijhorende TXT record gewoon opvragen:

 

nslookup
> set type=TXT
> google._domainkey.benthuizertennis.club
Server:		192.168.2.250
Address:	192.168.2.250#53

Non-authoritative answer:
google._domainkey.benthuizertennis.club	text = "v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA3MXw3LprSatGXyzz4DvJxGprSmDaw5GbnNIGcONv9Srakp0RS8IYu0UcM3tl9e+73svdnlwT6vHwUN2Xht68MzQ2nleL6uEyC8v5G5Nfrj5GeIug7akbEkgN4gwkVOFIrKy8TsZ3fSfBAyhZmT50iiphcwaEhOWUUHU7ch7Mwkp8y1GAeTXfiwBo/tTOJmwZP" "gGoSwCVYnFvEJIsc+qbkbLcYPBoroufs2C6iuy62xcrZ4ZB8YbPPT1tzgmwL38uNgJ3yrN4FQ7dU3apQOIF4rQlDUbHnWrDIDEU46cenKx/xQOf/VHk6un5CsOs2rToW2RmoS7Y9wvn2P/iDeHoCQIDAQAB"

 

Ik zal er nog eens over nadenken.....

 

Edit: Dit is van Google zelf.

X-Google-DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;d=1e100.net; s=20161025;
Er staan dus 2 DKIM sleutels in de mail, zou het kunnen dat Ziggo de verkeerde selector pakt? Ik weet het ook niet, maar ik denk maar even hardop.

efok
Expert
Expert
  • 2929Reacties
  • 151Oplossingen
  • 924Likes

Hallo @efok,

 

Ik heb geprobeerd om dit te reproduceren vandaag, maar dat lukt mij niet meer. De mails komen nu goed aan bij Ziggo. Ik ga het morgen nogmaals proberen te reproduceren.

 

Met vriendelijke groeten,

Mike Reumer

Reumer
topicstarter
Gedreven Ontdekker
  • 6Reacties
  • 0Oplossingen
  • 0Likes

Hallo @efok ,

 

Ik heb het vanavond kunnen reproduceren en ik heb dit ook naar Ziggo Abuse team gestuurd als reactie op hun mail.

 

Ik kreeg toch weer de melding "dkim=fail header.d=benthuizertennis.club (key not found in DNS);"
 
Ik heb een mail gestuurd 1 naar casema.nl en de ander naar mij gmail account.
Zie bijlagen voor de 2 ontvangen mails :
  • Bij Gmail komt de mail binnen en heeft geen probleem met de controle.
  • Bij Ziggo webmail komt de mail binnen en heeft wel de DKIM error.
Het vreemde is dat ik daarna mails stuur direct naar casema.nl en dan gaat de controle wel goed. Het lijkt erop dat het dus de 1e keer per dag? verkeerd gaat.
 
Heb je misschien een idee over dit vreemde probleem?
 
Met vriendelijke groeten,
 
Mike Reumer
Reumer
topicstarter
Gedreven Ontdekker
  • 6Reacties
  • 0Oplossingen
  • 0Likes

Merkwaardig. Zeker als het maar af en toe te reproduceren valt. Het lijkt me dat jij de zaken goed hebt geconfigureerd, en dat het probleem bij Ziggo ligt. Misschien dat 1 van hun interne DNS servers loopt te bokken? Ik speculeer maar wat. Ben benieuwd wat abuse terugkoppelt.

efok
Expert
Expert
  • 2929Reacties
  • 151Oplossingen
  • 924Likes

Hallo @efok ,

 

Nog een aanvulling dat ik zag in de mail log van Google Workplace. Het allereerste mailtje dat ik stuurde kreeg zelf een reject:

reumer@casema.nl
24 feb. 2021 20:18 5,68 minuten
Afgeleverd bij een SMTP-server met IP-adres: 212.54.42.8 TLS is ingeschakeld
  24 feb. 2021 20:13
Verzonden vanuit Gmail
  24 feb. 2021 20:13
In behandeling
Google tried to deliver your message, but it was rejected by the server for the recipient domain <a href="http://casema.nl" target="_blank">casema.nl</a> by <a href="http://mx.tb.mail.iss.as9143.net" target="_blank">mx.tb.mail.iss.as9143.net</a>. [212.54.42.8]. The error that the other server returned was: 421 4.1.0 MXIN400 Cannot validate your Mailfrom Domain benthuizertennis.club in DNS, adjust or retry later ;id=EzaqlU09941VOEzaqlpwpL;<wbr>sid=EzaqlU09941VO;mta=mx7.tb;<wbr>d=20210224;t=201309[CET];<wbr>ipsrc=209.85.221.43;
De host van de ontvanger heeft de verbinding met onze servers geweigerd.
  24 feb. 2021 20:13
Geweigerd
Google tried to deliver your message, but it was rejected by the server for the recipient domain <a href="http://casema.nl" target="_blank">casema.nl</a> by <a href="http://mx.tb.mail.iss.as9143.net" target="_blank">mx.tb.mail.iss.as9143.net</a>. [212.54.42.8]. The error that the other server returned was: 421 4.1.0 MXIN400 Cannot validate your Mailfrom Domain benthuizertennis.club in DNS, adjust or retry later ;id=EzaqlU09941VOEzaqlpwpL;<wbr>sid=EzaqlU09941VO;mta=mx7.tb;<wbr>d=20210224;t=201309[CET];<wbr>ipsrc=209.85.221.43;
  24 feb. 2021 20:18
Afgeleverd bij een SMTP-server
No Error
  24 feb. 2021 20:18
Afgeleverd bij een SMTP-server met IP-adres: 212.54.42.8 TLS is ingeschakeld

 

Het is later wel afgeleverd.

 

Met vriendelijke groeten,

 

Mike Reumer

Reumer
topicstarter
Gedreven Ontdekker
  • 6Reacties
  • 0Oplossingen
  • 0Likes

Uitgelicht topic