質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

88.93%

メールを中継すると元のDKIM-Signatureが変わってしまい、 dkim=neutral (body hash did not verify)が出ます

解決済

回答 1

投稿 編集

  • 評価
  • クリップ 1
  • VIEW 1,851

sasa56563

score 22

example.comからgmailへメールを送るとdkim=passとなるのですが、
example.comからメーリングリスト(mailing.example.com)経由→gmail宛ては発信元のdkim=neutralになります。

gmail
元のメッセージ
メール ID    <20190208115425.7C0A.93B1EB5@example.com>
作成日:    20192811:5453 秒後に配信済み)
From:    User <user@example.com> Becky! ver. 2.70 [ja] を使用
To:    test@mailing.example.com
件名:    [Test] testtest
SPF:    PASS(IP: 192.168.0.2)。詳細
DKIM:    'PASS'(ドメイン: example.com)詳細
DMARC:    'PASS' 詳細


とDKIMはPASSなのですが、これは中継するメーリングサーバのDKIMはPASSで送信元のDKIMはneutralになっているようです。
ヘッダーを見ると

gmail.comのヘッダー

ARC-Authentication-Results: i=1; mx.google.com;
       dkim=pass header.i=@mailing.example.com header.s=201902ms header.b=HVG5F01r;
       dkim=neutral (body hash did not verify) header.i=@example.com header.s=201902ss header.b=aTkldZW1;
       spf=pass (google.com: domain of test-bounces@mailing.example.com designates 192.168.0.5 as permitted sender) smtp.mailfrom=test-bounces@mailing.example.com;
       dmarc=pass (p=NONE sp=NONE dis=NONE) header.from=mailing.example.com
Return-Path: <test-bounces@mailing.example.com>
Received: from ccc.example.com 
        by mx.google.com with ESMTPS id h6si816746pgs.211.2019.02.07.18.55.02
        for <sasatue@gmail.com>
        (version=TLS1 cipher=AES128-SHA bits=128/128);
        Thu, 07 Feb 2019 18:55:02 -0800 (PST)
Received-SPF: pass (google.com: domain of test-bounces@mailing.example.com designates 192.168.0.5 as permitted sender) client-ip=192.168.0.5;
**Authentication-Results: mx.google.com;
       dkim=pass header.i=@mailing.example.com header.s=201902ms header.b=HVG5F01r;
       dkim=neutral (body hash did not verify) header.i=@example.com **header.s=201902ss header.b=aTkldZW1;
       spf=pass (google.com: domain of test-bounces@mailing.example.com designates 192.168.0.5 as permitted sender) smtp.mailfrom=test-bounces@mailing.example.com;
       dmarc=pass (p=NONE sp=NONE dis=NONE) header.from=mailing.example.com
Received: from [127.0.0.1] (localhost [127.0.0.1]) by ccc.example.com (Postfix) with ESMTP id 6E632574020 for <user@gmail.com>; Fri,
  8 Feb 2019 11:55:29 +0900 (JST)
DKIM-Signature: v=1; a=rsa-sha256; c=simple/simple; d=mailing.example.com; s=201902ms; t=1549594529; bh=Ag1sjVoEZdo0LK3gcOELC4iCipcjsiSPVbikXzMsvvQ=; h=Date:To:MIME-Version:Message-ID:From:Subject:Reply-To:List-Id:
     List-Unsubscribe:List-Archive:List-Post:List-Help:List-Subscribe:
     Content-Type:Sender; b=HVG5F01rtbeaY2fcLvRiwE5DiWtw6dR22eoAqYHSyHWz5shTyuS413rkqwdRpBRx+
     Ngm6PLNK3wj+9X9dNRZ4FheC3pwlAvO2zKEIJYMRFwsxtdFBZEmLiA+k8KirbAmdNX
     8BfCuKRRES/kmF2ZZhVioKbBuAkZ/2D9BSS5O8xUA+vYFJfV5m43TCjD+jCGRhqkTO
     32ltU9MTuVWEnqGtHgxdEaJHzxtdEWYE/eYIaKImu5O2thBXYxAJI0spN6tq+KHuk7
     tosFQH1r4686jw0lSX/7uRyuyUdK3WEFwVRY0ITxLDdUyQTQC6sCXsOlTFxED8kBiM
     Lv1kpaMwCNMgw==
Authentication-Results: ccc.example.com; dkim=pass (2048-bit key; insecure key) header.i=@example.com; dkim-adsp=pass
DKIM-Filter: OpenDKIM Filter v2.11.0 ns.example.jp CCCB940645C2
__Authentication-Results: ns.example.jp; dkim=pass (2048-bit key) header.d=example.com header.i=@example.com__ header.b="aTkldZW1"
Date: Fri, 08 Feb 2019 11:54:10 +0900
DKIM-Signature: v=1; a=rsa-sha256; c=simple/simple; d=example.com; s=201902ss; t=1549594652; bh=DXfLic7YukfHdRophIeOfibtWZT60ah5qidcHPFfb2c=; h=From:To:Subject:Message-Id:MIME-Version:Content-Type: Content-Transfer-Encoding; **b=aTkldZW1aJnEtLVxLOIE9oP4TD6bSm19YymvGG3O2XBMuw6sObnjb549mTQObaCv4 o9dIAAFqvYASRDQb0HuNv/z/qj2a54kWdcwilGRMoK5A6SZOLHndqMKwT7mIQijC+n ImDvV2jBSn/rH4Z0ndofDCkOFr2PxNzJ2URa8aAPmwsgaygRXgdEq+IkszrftjU2xT HStmY7s3JeR14jUMs92idhGmVlLucZWAFC2iiVsaAxTkBrA5Oosjsh4NxI561J0YH+ 7vjIFfke1dD4NFBk1HbQ+f9Ow2A4ATGH/P+FQNByPW201d0PBfXoHE7ni9edjxFJTk tSWHaM6iVQaMg==**

これを見ると中継すると発信元で付けられたDKIM-Signatureの改行コードが変わってしまっています。調べてみると
サイトにはdkim=neutralの原因は改行コードにあるとありますが、確かにそのようです。
そこでmalingサーバーのpostfixのmain.cf
sendmail_fix_line_endings (default: always)の値を変えてみましたが、結果は同じでした。
本件では改行コードが違うのではなく、とれてしまっているようです。
example.com→postfix2.7
mailing.example.com →postfix2.10です。
なにか対策はないでしょうか。よろしくお願いします。

対策

ご教授により、opendkim.confに以下を追記しました。

RemoveOldSignatures yes


発信元の認証鍵がヘッダーに現れなくなり、gmail側もこの分については認証確認しなくなりました。この設定による副作用的なものはないかわかりません。
サイト上でRemoveOldSignatures に関する記述はほとんどありません。

  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 過去に投稿した質問と同じ内容の質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

回答 1

checkベストアンサー

0

メーリングリストサーバで転送時に再署名は出来ませんか?

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2019/02/08 22:11

    ARC-Authentication-Results: i=1; mx.google.com;
    dkim=pass header.i=@mailing.example.com
    dkim=neutral (body hash did not verify) header.i=@example.com

    の2つめを気にしていたのですが、
    ドメイン認証の問題点と解決案
    https://www.mew.org/~kazu/doc/antispam/
    を読んでいて特にこだわることもないのではと考えた次第です。

    キャンセル

  • 2019/02/08 22:15

    ありがとうございます。

    >>RemoveOldSignatures yes を設定すればよいと思います。

    そうさせていただきます。

    キャンセル

  • 2019/02/11 11:29

    すいません、opendkimで出来るかは分かりませんが、署名対象のヘッダーを取捨選択すればpassすることもできるかもしれません。今rspamdというmilterで実験中です。

    キャンセル

15分調べてもわからないことは、teratailで質問しよう!

  • ただいまの回答率 88.93%
  • 質問をまとめることで、思考を整理して素早く解決
  • テンプレート機能で、簡単に質問をまとめられる

関連した質問

同じタグがついた質問を見る

  • トップ
  • DNSに関する質問
  • メールを中継すると元のDKIM-Signatureが変わってしまい、 dkim=neutral (body hash did not verify)が出ます