Domaine personalisé - DKIM trop long

tierce · January 26, 2022, 6:31pm

Salut,

Que ce soit chez OVH ou chez Gandi, les DKIM sont trop longues. 2048bit ça passe pas.

Ou alors je vois pas comment les mettre en place avec cette taille.

392 caractères avec une 2048bit

MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAy5mMMOc8NQxi+QSO+Pi40gAJeNYF/xgOWJrJmKXda2UWM7pR0Pc7DykhIVpSIG9LrlMqjoBGGCMGS0KCFY1nW4ztgXOnEX42avb7V1EuDwzELllHsuCXjdVm7u6nF0llWyPbYZvgNH7bt1eJTT27CQ2YdBf/egZW6kvS8+GBQLEg4CSRyzpgTGRPoFfGKfrykGx+oO8nicxy8Xx/Vd79ILmMsnwKdjELPZIxivhvWZf06LtcrKjIojC+Ux+8Q5A2glkzewZKiNeppafruek0v0ZBchXGdmWTBNqEtkMFVDY0E7VIO3F3IdsqNAAWxyExcNjTwFkP1nNMi75iEcxZNQIDAQAB

216 caractère pour une 1024bit

MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDSDkdNWL45C7oSemEdJdL474ZOary9gJ4jvwtBW6NzAOsUoq+Z74c6GKoeAl2UAjv3cd6bgCP12FgN1kCh16Mm+DRg7+6pOqJLatkQb+ocvUdn+YvUkGHIo4sQnyp3CndJ2Rkgf7zzea1bY63H04LU6+zz/AK5I+Wv6EZCUa5BEwIDAQAB

M’est avis que les bureaux d’enregistrement et les gestionnaires DNS se contenteraient volontiers de records de moins de 255 caractères.

@quenenni … peut-être envisager de redescendre à 1024bit par soucis de compatibilité ?

des bécots

Emmanuel · January 26, 2022, 6:41pm

Salut @tierce !

En attendant de voir si on simplifie le truc, tu peux intégrer un " " au milieu de la chaine pour la couper.

Je crois me souvenir que chez Gandi, si tu passe par leur formulaire (pas en mode texte), il la coupe tout seul.

tierce · January 27, 2022, 9:58am

Salut @Emmanuel

OVH

J’ai créé le record avec l’interface graphique de OVH mais la vérification côté Nubo ne passe pas. Soit parce que la clé t=s se retrouve systématiquement à la fin du record TXT.

Pour le domaine gnunation.net la clé proposée par Nubo c’est

dkim._domainkey	10800	IN	TXT	"v=DKIM1;k=rsa;t=s;s=email;p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAy5mMMOc8NQxi+QSO+Pi40gAJeNYF/xgOWJrJmKXda2UWM7pR0Pc7DykhIVpSIG9LrlMqjoBGGCMGS0KCFY1nW4ztgXOnEX42avb7V1EuDwzELllHsuCXjdVm7u6nF0llWyPbYZvgNH7bt1eJTT27CQ2YdBf/egZW6kvS8+GBQLEg4CSRyzpgTGRPoFfGKfrykGx+oO8nicxy8Xx/Vd79ILmMsnwKdjELPZIxivhvWZf06LtcrKjIojC+Ux+8Q5A2glkzewZKiNeppafruek0v0ZBchXGdmWTBNqEtkMFVDY0E7VIO3F3IdsqNAAWxyExcNjTwFkP1nNMi75iEcxZNQIDAQAB"

Et ce qu’on retrouve avec un dig c’est ceci :

ᐅ dig txt gnunation.net

; <<>> DiG 9.16.22-Debian <<>> txt gnunation.net
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 47950
;; flags: qr rd ra; QUERY: 1, ANSWER: 4, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;gnunation.net.			IN	TXT

;; ANSWER SECTION:
gnunation.net.		60	IN	TXT	"1|www.gnunation.net"
gnunation.net.		60	IN	TXT	"v=spf1 a mx ip4:79.99.201.10/31 ip4:79.99.201.12/31 -all"
gnunation.net.		60	IN	TXT	"nai-verification=f1fe3b3cb7c36269244d69ce51dd591e"
gnunation.net.		60	IN	TXT	"v=DKIM1;k=rsa;s=email;p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAy5mMMOc8NQxi+QSO+Pi40gAJeNYF/xgOWJrJmKXda2UWM7pR0Pc7DykhIVpSIG9LrlMqjoBGGCMGS0KCFY1nW4ztgXOnEX42avb7V1EuDwzELllHsuCXjdVm7u6nF0llWyPbYZvgNH7bt1eJTT27CQ2YdBf/egZW6kvS8+GBQLEg4CSRyzpgTG" "RPoFfGKfrykGx+oO8nicxy8Xx/Vd79ILmMsnwKdjELPZIxivhvWZf06LtcrKjIojC+Ux+8Q5A2glkzewZKiNeppafruek0v0ZBchXGdmWTBNqEtkMFVDY0E7VIO3F3IdsqNAAWxyExcNjTwFkP1nNMi75iEcxZNQIDAQAB;t=s;"

;; Query time: 91 msec
;; SERVER: 192.168.1.1#53(192.168.1.1)
;; WHEN: Thu Jan 27 10:51:52 CET 2022
;; MSG SIZE  rcvd: 640

En essayant en mode texte chez OVH ça passe pas, leur robot dit qu’il y a une erreur et refuse d’appliquer la nouvelle zone DNS.

Gandi

Idem mais pour un autre domaine nondedom.top.

Et là aussi, en mode graphique, la clé est scindée avec des " " mais la vérification côté Nubo de passe pas.

Pourtant le record est bien là.

ᐅ dig txt dkim._domainkey.nondedom.top

; <<>> DiG 9.16.22-Debian <<>> txt dkim._domainkey.nondedom.top
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 26418
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;dkim._domainkey.nondedom.top.	IN	TXT

;; ANSWER SECTION:
dkim._domainkey.nondedom.top. 10800 IN	TXT	"v=DKIM1;k=rsa;t=s;s=email;p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAy5mMMOc8NQxi+QSO+Pi40gAJeNYF/xgOWJrJmKXda2UWM7pR0Pc7DykhIVpSIG9LrlMqjoBGGCMGS0" "KCFY1nW4ztgXOnEX42avb7V1EuDwzELllHsuCXjdVm7u6nF0llWyPbYZvgNH7bt1eJTT27CQ2YdBf/egZW6kvS8+GBQLEg4CSRyzpgTGRPoFfGKfrykGx+oO8nicxy8Xx/Vd79ILmMsnwKdjELPZIx" "ivhvWZf06LtcrKjIojC+Ux+8Q5A2glkzewZKiNeppafruek0v0ZBchXGdmWTBNqEtkMFVDY0E7VIO3F3IdsqNAAWxyExcNjTwFkP1nNMi75iEcxZNQIDAQAB"

;; Query time: 55 msec
;; SERVER: 192.168.1.1#53(192.168.1.1)
;; WHEN: Thu Jan 27 10:49:07 CET 2022
;; MSG SIZE  rcvd: 492

Hope this helps …

tierce · January 27, 2022, 11:28am

Correction … il était tard hier … je viens de refaire, chez OVH et pour gnunation.net, le record sur dkim._domainkey.gnunation.net au lieu de gnunation.net.

J’attends un peu que le DNS se propage avant de vérifier côté Nubo.

En espérant que ça sera bon cette fois

tierce · January 27, 2022, 6:10pm

Crotte de gobelin … ça n’change ré du tô…

Un dig m’retourne ben l’bon record DNS…


;; ANSWER SECTION:
dkim._domainkey.gnunation.net. 60 IN	TXT	"v=DKIM1;k=rsa;s=email;p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAy5mMMOc8NQxi+QSO+Pi40gAJeNYF/xgOWJrJmKXda2UWM7pR0Pc7DykhIVpSIG9LrlMqjoBGGCMGS0KCFY1nW4ztgXOnEX42avb7V1EuDwzELllHsuCXjdVm7u6nF0llWyPbYZvgNH7bt1eJTT27CQ2YdBf/egZW6kvS8+GBQLEg4CSRyzpgTG" "RPoFfGKfrykGx+oO8nicxy8Xx/Vd79ILmMsnwKdjELPZIxivhvWZf06LtcrKjIojC+Ux+8Q5A2glkzewZKiNeppafruek0v0ZBchXGdmWTBNqEtkMFVDY0E7VIO3F3IdsqNAAWxyExcNjTwFkP1nNMi75iEcxZNQIDAQAB;t=s;"

Si ce n’est que le t=s res’todi à la fin … et que dji’n parvin nin à tcheu l’étap de vérification.

Nondidj’u

quenenni · January 28, 2022, 2:58pm

Salut Tierce,

On a pas eu ce genre de problème de notre côté, mais on utilise pas les DNS de Gandi ou OVH mais nos propres serveurs DNS.
Mais je suis quand même étonné, pour chez Gandi en tout cas, car j’ai le souvenir (pas ultra précis) d’avoir déjà mis des clés DKIM de 2048 chez eux (avec un espace qui se crée comme l’a montré Emmanuel).

On ne va pas passer tout en 1024 chez Nubo, mais par contre, sur demande, on peut mettre en 1024 la clé DKIM pour un domaine.

Tu me confirmes que je switche vers une clé 1024 pour gnunation.net et nondedom.top?

Emmanuel · January 28, 2022, 4:47pm

Moi j’avais eu le problème (chez Gandi), quand tu édites la zone en mode texte (ce qui est plus rapide parce qu’il suffit de copier-coller la ligne proposée dans l’interface de Nubo), eh ben il faut couper soi-même sinon il refuse (“string too long” qu’il dit). Mais en mode formulaire ça passe.

Peut-être qu’on devrait déjà la couper dans l’interface Nubo ? Faudrait tester si couper ça passe encore dans les formulaires et ailleurs.

tierce · January 28, 2022, 6:12pm

Salut @quenenni

Restons sur gnunation.net et OVH dans un premier temps… je préfère continuer les essais en 2048 pour comprendre où ça coince.

Mis à part les séparations " " et la clé / valeur t=s qui est à la fin (et qui se met d’office à la fin chez OVH), je vois pas de différence, mais la validation ne passe pas.

Dans Nubo j’ai ceci :

Dans OVH ceci :

Et un dig :

May ze force be with you.

stijn.vanhandsaeme · February 7, 2022, 10:10am

@tierce, je peux te confirmer que la configuration DKIM est ok. C’est notre validation dans linterface qui est trop stricte.

stijn.vanhandsaeme · February 7, 2022, 10:15am

Si ut pourrais essayer de mettre le t=s encore en avant comme dans l’exemple montré dans l’interface. Possiblement c’est là qu’il y a un problème pour la vérification.

tierce · February 8, 2022, 11:51am

Salut @stijn.vanhandsaeme

Ça y est … c’est enfin vérifié.

C’est possible de supprimer les deux autres domaines kilombo.top et nondedom.top avec lesquels j’avais essayé parce qu’ils n’étaient pas chez OVH ?

Merci