DKIM-signering i Exchange Server och Bind

Att köra egen e-postserver blir inte lättare med tiden, det är ett som är säkert. Då och då har jag fått frågor från familj och släkt som kör e-post via min server varför vissa mail inte kommer fram till sina mottagare. Det finns givetvis tusentals anledningar till det men när en lyssnare av Björeman//Melin hörde av sig och sa att mail från mig klassades som osäkra kände jag att det var dags att ta tag i detta på allvar.

Det första jag gjorde var att kolla så mina DNS-inställningar för alla domäner var korrekta. SPF-records var inlagda och var korrekta, DMARC likaså och jag hade också lagt in nycklar för DKIM men jag hade uppenbarligen inte läst på ordentligt för jobbet var bara halvgjort.

Vad är då DKIM kanske du undrar? DKIM är enkelt uttryckt ett sätt att signera utgående e-post med ett certifikat. E-postservern signerar varje utgående meddelande och mottagande server ser denna signering (om den kollar efter det) och gör sedan ett uppslag mot DNS-servern/servrarna som hanterar den sändande domänen och kollar om signeringsnyckeln i mailet matchar nyckeln som finns i domäntabellen. Låter enkelt, kan man tycka men det blir raskt mer komplicerat om man som jag kör en gammal Exchange Server och dessutom använder Bind som DNS-servrar.

Det första man måste göra är att ta reda på hur i hela friden man får Exchange Server att signera mailen. Min första ide var att låta mitt spamfilter, det utmärkta Halon MTA från det svenska bolaget Halon Security, låta signera all utgående e-post. Detta är kanske i sig ingen dum idé men jag tänkte att jag först skulle ta reda på om det ens gick att göra med Exchange Server. Det finns, givetvis, inte ett spår av detta i inställnignarna för Exchange Server men ett projekt kallat DKIM-Exchange såg lovande ut och efter att ha laddat ner och installerat programmet kunde jag lägga in alla domäner jag har i min Exchange-server, skapa nya certifikat och sedan koppla dessa till respektive domän. Klick-klick-finish, typ. Detta är givetvis ingen officiell Microsoft-produkt utan ett öppet tredjepartsprojekt och har därför garantier därefter men än så länge har det fungerat utmärkt.

Nästa steg var att formattera och se till att DKIM-informationen i domäntabellerna var korrekt. Olika DNS-servrar hanterar detta olika och jag, som kör Bind 9, hittade gott om guider som talade om hur man gjorde saker och ting “korrekt” men problemet var att inget av det faktiskt fungerade. Det första jag gjorde fel var att hälla in hela certifikatet på en enda lång rad. Bind klagade inte men när jag försökte verifiera att DKIM-informationen i domänen var korrekt så visade det sig att ingen DKIM-information fanns att hämta. Efter ett par timmars meckande och testande kom jag fram till något som fungerar. Det visar sig att man måste lägga in hela DKIM-strängen i DNS-tabellen inom citationstecken och inom paranteser och dessutom göra raderna “lagom” långa, 55-60 tecken långa per rad:

dkim._domainkey.bjoremanmelin.se. IN TXT (“v=DKIM1; k=rsa; p=XXxxXXxxXXxxXXxxXXxxXXxxXXxxXXxxXXxx” “XXxxXXxxXXxxXXxxXXxxXXxxXXxxXXxxXXxxXXxxXXxxXXxxXXxxXXx” “XXxxXXxxXXxxXXxxXXxxXXxxXXxxXXxxXXxxXXxxXXxxXXxxXXxxXXx” “XXxxXXxxXXxxXXxxXXxxXXxxXXxxXXxxXXxxXXxxXXxxXXxxXXxxXXx” “XXxxXXxxXXxxXXxxXXxxXXxxXXxxXXxxXXxxXXxxXXxxXXxxXXxxXXx” “XXxxXXxxXXxxXXxxXXxxXXxxXXxxXXxxXXxxXXxxXXxxXXxxXXxxXXx” “XXxxXXxxXXxxXXxxXXxxXXxxXXxxXXxxXXxxXXxxXXxxXXxxXXxxXXx” “XXxxXXxxXXxxXXxxXXx”)

Utöver detta behöver man ha ytterligare ett värde inlagt:

domainkey.bjoremanmelin.se. 1 IN TXT “o=-;hostmaster@fidonet.io”

Den skarpögde noterar att följande tecken är inlagda: “o=-;”

Detta anger vilken grad av signering som sker på min sida. Följande värden finns att välja mellan:

  1. o=~ Signering är valfri
  2. o=- signering finns men är inte tvingande
  3. o=! Signering krävs
  4. o=. Denna domän skickar inte e-post

Jag har som synes valt alternativ två, mest för att jag misstänker att inte alla servrar jag skickar mail till kommer kunna hantera signerade mail, eller så ignorerar de bara signeringen om de inte verifierar DKIM, jag har inte kollat upp det närmare ännu.

Hur som helst - numera kommer de servrar som verifierar e-post från min domän, min familjs domännamn, min släkts domännamn och min och Fredriks podds domännamn förhoppningsvis inte fastna någonstans.

Har du inte kollat närmare på DKIM så är det hög tid att göra det tillsammans med DMARC och SPF.

Datormagazin Retro

Galet bra! Med två dagar till godo nådde vi 100 vårt mål om 1000 förbeställningar av Datormagazin Retro #4. Ett stort tack till alla som redan har beställt! Det finns fortfarande tid för dig som ännu inte bokat ditt paket att göra affär och säkra en t-shirt eller musmatta!

Surfa till onlinebokningen idag och beställ redan nu - du har till midnatt den 30:e september på dig!

Smart lösning för trådlösa Bose-lurar

Hörlurar är svåra saker. Man kan stoppa in dem i öronen, hänga dem på öronen eller låta dem omsluta öronen. Jag föredrar det sistnämnda - desto större och fluffigare lurar, desto bättre. Jag har testat en hel del olika hörlurar genom åren. Inom området för trådlösa hörlurar som stödjer bluetooth har jag testat och ganska snart avfärdat ett par från Marshall och ett par Philips-lurar där kontrollerna för lurarna inte var fysiska knappar utan en stor touchyta. De lät okej och batteritiden i lurarna var överraskande bra men efter några timmar fick jag liksom ont i öronsnäckorna. De var helt enkelt inte bekväma nog för mig. Efter att ha prövat en god väns lurar insåg jag snart att det endast fanns ett alternativ: Bose QuietComfort 35 II. Eftersom jag är en stor anhängare av devisen “du får vad du betalar för” så har jag utan större problem accepterat att QuietComfort II är värda sin ganska väl tilltagna prislapp på närmare 3000 kronor. Därmed inte sagt att jag vill betala 3000 kronor för ett par hörlurar, men om jag hade det så är det en given affär för mig. Nej, istället köpte jag något annat… typ…

Bose har nämligen en trådbunden modell av QuietComfort II kallad QuietComfort 25, eller QC25. Prislappen för dessa hörlurar, som precis som sin trådbundna motsvarighet har brusreducering inbyggda, drygt hälften mot att köpa QuietComfort II. QC25 har, precis som sin trådlösa motsvarighet, en närmast oslagbar komfort och riktigt bra ljudkvalitet och det är hörlurar som jag kan sitta med en hel arbetsdag utan några problem. Det är också hörlurarna jag har på mig när jag spelar in ett nytt avsnitt av vår podcast varje vecka och jag skulle helt enkelt inte kunna leva utan dem.

QC25 har dock ett problem, och det är att de inte är trådlösa. Detta blir snart ett ganska stort problem när man som undertecknad skaffar en telefon utan hörlursuttag. Lyckligtvis finns det en lösning på problemet i form av en adapter som går att plugga in i QC25:s hörlursuttag som ger dig trådlös kommunikation i form av inkommande och utgående - adaptern har en inbyggd mikrofon som låter dig använda QC25-lurarna som ett headset för din mobiltelefon.

Denna adapter, jag tänker kalla den det för den har liksom inget officiellt produktnamn, är inte på något sätt tillverkad av- eller på annat sätt “godkänd” av Bose. Det står inte Bose någonstans på kartongen för produkten och man skulle givetvis kunna fundera på om kvaliteten på denna adapter är något att ha egentligen. Jag kan dock rapportera att än så länge fungerar den utmärkt. Adaptern ansluter till min OnePlus Nord utan minsta problem och ljudkvaliteten när jag spelar musik är riktigt, riktigt bra. Batteriet i adaptern är uppladdningsbart med hjälp av en medföljande USB-kabel och man skulle givetvis tro att en adapter för drygt 400 kronor inte skulle sitta perfekt på ett par dyra hörlurar men faktum är att man knappt tänker på att den sitter där.

Adaptern har fyra knappar - av/på-knapp, volym upp, volym ned och start/paus. En liten lysdiod indikerar om lurarna är på eller inte, och blinkar blått och rött när man vill para ihop adaptern med en dator eller telefon.

Är jag nöjd? Ja, det är jag. Adaptern kostade 400 kronor, Postnord ville sedan ha ytterligare 100 kronor i straffavgift för att jag inte handlade denna produkt i Sverige (vilket så vitt jag vet är omöjligt eftersom den inte säljs här) men summa summarum har jag ett par trådlösa, superbekväma hörlurar till ett bra pris. Adaptern påverkar inte heller hörlurarnas vikt nämnvärt och jag märker inte ens när den är monterad på hörlurarna. Ett överraskande bra köp helt enkelt.