DKIM (DomainKeys Identified Mail) — это метод e-mail аутентификации, основанный на проверке подлинности цифровой подписи. DKIM необходим для того, чтобы почтовые сервисы проверяли отправителя и защищали получателя письма от мошеннических рассылок, которые производятся с подменой адреса отправителя.
Метод предусматривает шифрование заголовков исходящих сообщений с помощью закрытого ключа домена, и добавление открытой версии ключа в записи DNS домена, доступного всем. MTA сервера-получателя запрашивает для расшифровки заголовков входящих сообщений открытый ключ у DNS-сервера отправителя, а затем проверяет, действительно ли сообщение отправлено от заявленного источника.
DKIM стал доступен с версии Zimbra 8.0. Настройка подписи состоит из двух этапов:
Добавляем данные DKIM к домену, у которого еще нет существующей конфигурации DKIM:
Получаем:
Также можно обновить DKIM данные для домена:
Удалить DKIM данных для домена:
Извлечь сохраненные данных DKIM для домена:
Публичный ключ нужно добавить как TXT-запись в домен:
Обновите DNS, и проверьте результат выполнения команды:
Например:
Если ключ извлекается используйте
Если получили ошибку:
Это означает, что файла /opt/zimbra/conf/opendkim.conf не существует, создать его можно командой:
Если возникнет необходимость отозвать ключ подписи DKIM, установите пустой «р=» тег в записи TXT
По умолчанию создается 1024-битный ключ (зависит от версии ZCS), изменить размер можно параметром -b
P.S: Есть проблема с изменением body hash подписи dkim в письмах, содержащих кириллицу, из-за чего получаем dkim=neutral (body hash did not verify) или dkim=false
Решение найдено, возможно кому то еще пригодится:
Метод предусматривает шифрование заголовков исходящих сообщений с помощью закрытого ключа домена, и добавление открытой версии ключа в записи DNS домена, доступного всем. MTA сервера-получателя запрашивает для расшифровки заголовков входящих сообщений открытый ключ у DNS-сервера отправителя, а затем проверяет, действительно ли сообщение отправлено от заявленного источника.
DKIM стал доступен с версии Zimbra 8.0. Настройка подписи состоит из двух этапов:
Первый этап: генерация ключей и селектора
Добавляем данные DKIM к домену, у которого еще нет существующей конфигурации DKIM:
# su zimbra
$ /opt/zimbra/libexec/zmdkimkeyutil -a -d example.comПолучаем:
DKIM Data added to LDAP for domain example.com with selector ECAC22D2-DCA2-11E6-BA30-B554729FE32A
Public signature to enter into DNS:
ECAC22D2-DCA2-11E6-BA30-B554729FE32B._domainkey IN TXT ( "v=DKIM1; k=rsa; "
"p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAs5OCY0sX04ziF+sOHt/1kq3A7iAzAjBjb4JteaoFzu1q2uBOiQS0uyaFeY6CgSgRRbvPnq8cWLG/XMU0tM9gSGtgtWDmHOs6/+QgKp6zRmetfsyABA2Y2U+XJlVURUE5ai3KIA/njt7IGZ5yeFsdZIKmhOCAOPGCovq10xkZXHdjRwiqxbCYGXv2m3o74BcWtOLPfEvexD5PYx"
"aTWFbelJpGlDN7WdBCE+ObpLGkJ9co/1sVOcd3c9SHfPq3jcBAFm7oPX2ak7Fb7cslVK77lA2hBgMYqI2Sh+T64o6R33dU++Ej7CuImmv7PAqVUn5MjYr05t3LK9dwWM8Cm6aJ/QIDAQAA" ) ; ----- DKIM key ECAC22D2-DCA2-11E6-BA30-B554729FE32A for example.comТакже можно обновить DKIM данные для домена:
$ /opt/zimbra/libexec/zmdkimkeyutil -u -d example.comУдалить DKIM данных для домена:
$ /opt/zimbra/libexec/zmdkimkeyutil -r -d example.comИзвлечь сохраненные данных DKIM для домена:
$ /opt/zimbra/libexec/zmdkimkeyutil -q -d example.comВторой этап: обновление DNS-записей
Публичный ключ нужно добавить как TXT-запись в домен:
$ORIGIN example.com.
ECAC22D2-DCA2-11E6-BA30-B554729FE32B._domainkey IN TXT ( "v=DKIM1; k=rsa; "
"p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAs5OCY0sX04ziF+sOHt/1kq3A7iAzAjBjb4JteaoFzu1q2uBOiQS0uyaFeY6CgSgRRbvPnq8cWLG/XMU0tM9gSGtgtWDmHOs6/+QgKp6zRmetfsyABA2Y2U+XJlVURUE5ai3KIA/njt7IGZ5yeFsdZIKmhOCAOPGCovq10xkZXHdjRwiqxbCYGXv2m3o74BcWtOLPfEvexD5PYx"
"aTWFbelJpGlDN7WdBCE+ObpLGkJ9co/1sVOcd3c9SHfPq3jcBAFm7oPX2ak7Fb7cslVK77lA2hBgMYqI2Sh+T64o6R33dU++Ej7CuImmv7PAqVUn5MjYr05t3LK9dwWM8Cm6aJ/QIDAQAA" ) ; ----- DKIM key ECAC22D2-DCA2-11E6-BA30-B554729FE32A for example.comОбновите DNS, и проверьте результат выполнения команды:
# host -t txt SELECTOR._domainkey.DOMAINНапример:
# host -t txt ECAC22D2-DCA2-11E6-BA30-B554729FE32B._domainkey.example.com ns1.example.com Если ключ извлекается используйте
/opt/zimbra/common/sbin/opendkim-testkey, чтобы убедиться, что открытый ключ соответствует закрытому.$ opendkim-testkey -d example.com -s ECAC22D2-DCA2-11E6-BA30-B554729FE32B -x /opt/zimbra/conf/opendkim.confЕсли получили ошибку:
opendkim-testkey: /opt/zimbra/conf/opendkim.conf: configuration error at line 0Это означает, что файла /opt/zimbra/conf/opendkim.conf не существует, создать его можно командой:
$ zmprov ms `zmhostname` +zimbraServiceEnabled opendkim ./libexec/configrewrite opendkimЕсли возникнет необходимость отозвать ключ подписи DKIM, установите пустой «р=» тег в записи TXT
По умолчанию создается 1024-битный ключ (зависит от версии ZCS), изменить размер можно параметром -b
P.S: Есть проблема с изменением body hash подписи dkim в письмах, содержащих кириллицу, из-за чего получаем dkim=neutral (body hash did not verify) или dkim=false
Решение найдено, возможно кому то еще пригодится:
Код: Выделить всё
#su zimbra
zimbra@mail:$ /opt/zimbra/postfix/sbin/postconf -e disable_mime_output_conversion='yes'
zimbra@mail:$ zmmtactl restart
Комментариев нет:
Отправить комментарий