Domaine personalisé - DKIM trop long

Salut,

Que ce soit chez OVH ou chez Gandi, les DKIM sont trop longues. 2048bit ça passe pas.

Ou alors je vois pas comment les mettre en place avec cette taille.

392 caractères avec une 2048bit

MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAy5mMMOc8NQxi+QSO+Pi40gAJeNYF/xgOWJrJmKXda2UWM7pR0Pc7DykhIVpSIG9LrlMqjoBGGCMGS0KCFY1nW4ztgXOnEX42avb7V1EuDwzELllHsuCXjdVm7u6nF0llWyPbYZvgNH7bt1eJTT27CQ2YdBf/egZW6kvS8+GBQLEg4CSRyzpgTGRPoFfGKfrykGx+oO8nicxy8Xx/Vd79ILmMsnwKdjELPZIxivhvWZf06LtcrKjIojC+Ux+8Q5A2glkzewZKiNeppafruek0v0ZBchXGdmWTBNqEtkMFVDY0E7VIO3F3IdsqNAAWxyExcNjTwFkP1nNMi75iEcxZNQIDAQAB

216 caractère pour une 1024bit

MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDSDkdNWL45C7oSemEdJdL474ZOary9gJ4jvwtBW6NzAOsUoq+Z74c6GKoeAl2UAjv3cd6bgCP12FgN1kCh16Mm+DRg7+6pOqJLatkQb+ocvUdn+YvUkGHIo4sQnyp3CndJ2Rkgf7zzea1bY63H04LU6+zz/AK5I+Wv6EZCUa5BEwIDAQAB

M’est avis que les bureaux d’enregistrement et les gestionnaires DNS se contenteraient volontiers de records de moins de 255 caractères. :smiley_cat:

@quenenni … peut-être envisager de redescendre à 1024bit par soucis de compatibilité ?

des bécots :kiss:

Salut @tierce !

En attendant de voir si on simplifie le truc, tu peux intégrer un " " au milieu de la chaine pour la couper. :scissors:

Je crois me souvenir que chez Gandi, si tu passe par leur formulaire (pas en mode texte), il la coupe tout seul. :exploding_head:

Salut @Emmanuel

OVH

J’ai créé le record avec l’interface graphique de OVH mais la vérification côté Nubo ne passe pas. Soit parce que la clé t=s se retrouve systématiquement à la fin du record TXT.

Pour le domaine gnunation.net la clé proposée par Nubo c’est

dkim._domainkey	10800	IN	TXT	"v=DKIM1;k=rsa;t=s;s=email;p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAy5mMMOc8NQxi+QSO+Pi40gAJeNYF/xgOWJrJmKXda2UWM7pR0Pc7DykhIVpSIG9LrlMqjoBGGCMGS0KCFY1nW4ztgXOnEX42avb7V1EuDwzELllHsuCXjdVm7u6nF0llWyPbYZvgNH7bt1eJTT27CQ2YdBf/egZW6kvS8+GBQLEg4CSRyzpgTGRPoFfGKfrykGx+oO8nicxy8Xx/Vd79ILmMsnwKdjELPZIxivhvWZf06LtcrKjIojC+Ux+8Q5A2glkzewZKiNeppafruek0v0ZBchXGdmWTBNqEtkMFVDY0E7VIO3F3IdsqNAAWxyExcNjTwFkP1nNMi75iEcxZNQIDAQAB"

Et ce qu’on retrouve avec un dig c’est ceci :

ᐅ dig txt gnunation.net

; <<>> DiG 9.16.22-Debian <<>> txt gnunation.net
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 47950
;; flags: qr rd ra; QUERY: 1, ANSWER: 4, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;gnunation.net.			IN	TXT

;; ANSWER SECTION:
gnunation.net.		60	IN	TXT	"1|www.gnunation.net"
gnunation.net.		60	IN	TXT	"v=spf1 a mx ip4:79.99.201.10/31 ip4:79.99.201.12/31 -all"
gnunation.net.		60	IN	TXT	"nai-verification=f1fe3b3cb7c36269244d69ce51dd591e"
gnunation.net.		60	IN	TXT	"v=DKIM1;k=rsa;s=email;p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAy5mMMOc8NQxi+QSO+Pi40gAJeNYF/xgOWJrJmKXda2UWM7pR0Pc7DykhIVpSIG9LrlMqjoBGGCMGS0KCFY1nW4ztgXOnEX42avb7V1EuDwzELllHsuCXjdVm7u6nF0llWyPbYZvgNH7bt1eJTT27CQ2YdBf/egZW6kvS8+GBQLEg4CSRyzpgTG" "RPoFfGKfrykGx+oO8nicxy8Xx/Vd79ILmMsnwKdjELPZIxivhvWZf06LtcrKjIojC+Ux+8Q5A2glkzewZKiNeppafruek0v0ZBchXGdmWTBNqEtkMFVDY0E7VIO3F3IdsqNAAWxyExcNjTwFkP1nNMi75iEcxZNQIDAQAB;t=s;"

;; Query time: 91 msec
;; SERVER: 192.168.1.1#53(192.168.1.1)
;; WHEN: Thu Jan 27 10:51:52 CET 2022
;; MSG SIZE  rcvd: 640

En essayant en mode texte chez OVH ça passe pas, leur robot dit qu’il y a une erreur et refuse d’appliquer la nouvelle zone DNS.

Gandi

Idem mais pour un autre domaine nondedom.top.

Et là aussi, en mode graphique, la clé est scindée avec des " " mais la vérification côté Nubo de passe pas.

Pourtant le record est bien là.

ᐅ dig txt dkim._domainkey.nondedom.top

; <<>> DiG 9.16.22-Debian <<>> txt dkim._domainkey.nondedom.top
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 26418
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;dkim._domainkey.nondedom.top.	IN	TXT

;; ANSWER SECTION:
dkim._domainkey.nondedom.top. 10800 IN	TXT	"v=DKIM1;k=rsa;t=s;s=email;p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAy5mMMOc8NQxi+QSO+Pi40gAJeNYF/xgOWJrJmKXda2UWM7pR0Pc7DykhIVpSIG9LrlMqjoBGGCMGS0" "KCFY1nW4ztgXOnEX42avb7V1EuDwzELllHsuCXjdVm7u6nF0llWyPbYZvgNH7bt1eJTT27CQ2YdBf/egZW6kvS8+GBQLEg4CSRyzpgTGRPoFfGKfrykGx+oO8nicxy8Xx/Vd79ILmMsnwKdjELPZIx" "ivhvWZf06LtcrKjIojC+Ux+8Q5A2glkzewZKiNeppafruek0v0ZBchXGdmWTBNqEtkMFVDY0E7VIO3F3IdsqNAAWxyExcNjTwFkP1nNMi75iEcxZNQIDAQAB"

;; Query time: 55 msec
;; SERVER: 192.168.1.1#53(192.168.1.1)
;; WHEN: Thu Jan 27 10:49:07 CET 2022
;; MSG SIZE  rcvd: 492

Hope this helps …

Correction … il était tard hier … je viens de refaire, chez OVH et pour gnunation.net, le record sur dkim._domainkey.gnunation.net au lieu de gnunation.net.

J’attends un peu que le DNS se propage avant de vérifier côté Nubo.

En espérant que ça sera bon cette fois :sweat_smile:

Crotte de gobelin … ça n’change ré du tô…

Un dig m’retourne ben l’bon record DNS…


;; ANSWER SECTION:
dkim._domainkey.gnunation.net. 60 IN	TXT	"v=DKIM1;k=rsa;s=email;p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAy5mMMOc8NQxi+QSO+Pi40gAJeNYF/xgOWJrJmKXda2UWM7pR0Pc7DykhIVpSIG9LrlMqjoBGGCMGS0KCFY1nW4ztgXOnEX42avb7V1EuDwzELllHsuCXjdVm7u6nF0llWyPbYZvgNH7bt1eJTT27CQ2YdBf/egZW6kvS8+GBQLEg4CSRyzpgTG" "RPoFfGKfrykGx+oO8nicxy8Xx/Vd79ILmMsnwKdjELPZIxivhvWZf06LtcrKjIojC+Ux+8Q5A2glkzewZKiNeppafruek0v0ZBchXGdmWTBNqEtkMFVDY0E7VIO3F3IdsqNAAWxyExcNjTwFkP1nNMi75iEcxZNQIDAQAB;t=s;"

Si ce n’est que le t=s res’todi à la fin … et que dji’n parvin nin à tcheu l’étap de vérification.

Nondidj’u :crazy_face:

Salut Tierce,

On a pas eu ce genre de problème de notre côté, mais on utilise pas les DNS de Gandi ou OVH mais nos propres serveurs DNS.
Mais je suis quand même étonné, pour chez Gandi en tout cas, car j’ai le souvenir (pas ultra précis) d’avoir déjà mis des clés DKIM de 2048 chez eux (avec un espace qui se crée comme l’a montré Emmanuel).

On ne va pas passer tout en 1024 chez Nubo, mais par contre, sur demande, on peut mettre en 1024 la clé DKIM pour un domaine.

Tu me confirmes que je switche vers une clé 1024 pour gnunation.net et nondedom.top?

Moi j’avais eu le problème (chez Gandi), quand tu édites la zone en mode texte (ce qui est plus rapide parce qu’il suffit de copier-coller la ligne proposée dans l’interface de Nubo), eh ben il faut couper soi-même sinon il refuse (“string too long” qu’il dit). Mais en mode formulaire ça passe.

Peut-être qu’on devrait déjà la couper dans l’interface Nubo ? Faudrait tester si couper ça passe encore dans les formulaires et ailleurs.

Salut @quenenni

Restons sur gnunation.net et OVH dans un premier temps… je préfère continuer les essais en 2048 pour comprendre où ça coince.

Mis à part les séparations " " et la clé / valeur t=s qui est à la fin (et qui se met d’office à la fin chez OVH), je vois pas de différence, mais la validation ne passe pas.

Dans Nubo j’ai ceci :

image

Dans OVH ceci :

image

Et un dig :

image

May ze force be with you.

@tierce, je peux te confirmer que la configuration DKIM est ok. C’est notre validation dans linterface qui est trop stricte.

Si ut pourrais essayer de mettre le t=s encore en avant comme dans l’exemple montré dans l’interface. Possiblement c’est là qu’il y a un problème pour la vérification.

Salut @stijn.vanhandsaeme

Ça y est … c’est enfin vérifié.

C’est possible de supprimer les deux autres domaines kilombo.top et nondedom.top avec lesquels j’avais essayé parce qu’ils n’étaient pas chez OVH ?

Merci