ESA - Configurez la signature DKIM

Introduction

Ce document décrit comment configurer DKIM se connectant un ESA.

Exigences

1. Access à l'appliance de sécurité du courrier électronique (ESA).
2. Access aux DN à ajouter/retirent des enregistrements TXT.

Assurez-vous que la signature DKIM est éteinte

Avant que nous apportions toutes les modifications, nous voulons nous assurer que la signature DKIM est hors fonction dans toutes les stratégies de flux de courrier. Ceci nous permettra pour configurer DKIM signant sans n'importe quelle incidence au flux de courrier :

1. Allez aux stratégies de messagerie > aux stratégies de flux de courrier.
2. Allez à chaque stratégie de flux de courrier et assurez-vous que le « domaine Key/DKIM signant » est placé à « hors fonction. »

Créez une clé de signature DKIM

Vous le premier besoin de créer une nouvelle clé de signature DKIM sur l'ESA :

1. Allez aux stratégies de messagerie > des clés de signature et sélectionnez « ajoutent la clé… »
2. Nommez la clé DKIM et générez une nouvelle clé privée ou la collez dans existante.

   Note: Dans la plupart des cas, il a recommandé que vous choisissiez une taille de clé privée de 2048 bits.

3. Commettez les modifications.

Générez un nouveau profil de signature DKIM et éditez l'enregistrement DNS aux DN

Ensuite, vous devrez créer un nouveau profil de signature DKIM, générez un enregistrement DNS DKIM de cela profil de signature DKIM et éditez cet enregistrement aux DN :

1. Allez aux stratégies de messagerie > des profils de signature et le clic « ajoutent le profil… »
   1. Donnez au profil un nom descriptif dans le domaine « nom de profil. »
   2. Entrez dans votre domaine dans le domaine « nom de domaine. »
   3. Écrivez une nouvelle chaîne de sélecteur dans le champ « sélecteur. »
      

      Note: Le sélecteur est une chaîne arbitraire qui est utilisée pour permettre de plusieurs enregistrements DNS DKIM pour un domaine donné.
      

   4. Sélectionnez la clé de signature DKIM créée dans la section précédente dans le domaine « clé de signature. »
   5. Cliquez sur Submit.
2. D'ici, le clic « se produisent » dans la colonne « DN textotent l'enregistrement » pour le profil de signature que vous avez juste créé et copient l'enregistrement DNS qui est généré. Il devrait sembler semblable à ce qui suit :
   

   selector2._domainkey.example.com. IN TXT "v=DKIM1; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAwMaX6wMAk4iQoLNWiEkj0BrIRMDHXQ7743OQUOYZQqEXSs+jMGomOknAZJpjR8TwmYHVPbD+30QRw0qEiRY3hYcmKOCWZ/hTo+NQ8qj1CSc1LTMdV0HWAi2AGsVOT8BdFHkyxg40oyGWgktzc1q7zIgWM8usHfKVWFzYgnattNzyEqHsfI7lGilz5gdHBOvmF8LrDSfN" "KtGrTtvIxJM8pWeJm6pg6TM/cy0FypS2azkrl9riJcWWDvu38JXFL/eeYjGnB1zQeR5Pnbc3sVJd3cGaWx1bWjepyNQZ1PrS6Zwr7ZxSRa316Oxc36uCid5JAq0z+IcH4KkHqUueSGuGhwIDAQAB;"

3. Commettez les modifications.
4. Soumettez l'enregistrement des DN TXT DKIM dans l'étape 2 aux DN.
5. Attendez jusqu'à ce que l'enregistrement des DN TXT DKIM ait été entièrement propagé.
6. Allez aux stratégies de messagerie > des profils de signature.
7. Sous la colonne « profil de test », clic « test » pour le nouveau profil de signature DKIM. Si le test est réussi, continuez ce guide. Sinon, confirmez que l'enregistrement des DN TXT DKIM a été entièrement propagé.

Tournez se connecter DKIM

Maintenant que l'ESA est configuré aux messages de signe DKIM, nous pouvons tourner se connecter DKIM :

1. Allez aux stratégies de messagerie > aux stratégies de flux de courrier.
2. Allez à chaque flux de courrier la stratégie qui a le « comportement de connexion » du « relais » et tournez le « domaine Key/DKIM signant » à « en fonction. »
   

   Note: Par défaut, la seule stratégie de flux de courrier avec un « comportement de connexion » de « relais » est la stratégie de flux de courrier appelée « transmise par relais. » La chose importante à se souvenir ici est que nous voulons seulement aux messages de signe DKIM qui sont sortants.
   

3. Commettez les modifications.

Flux de courrier de test pour confirmer des passages DKIM

En ce moment, vous êtes fait avec configurer DKIM pas plus. Cependant, vous devriez tester DKIM signant pour s'assurer qu'il signe vos messages sortants comme prévu et passe la vérification DKIM :

1. Envoyez un message par l'ESA en s'assurant qu'il obtient DKIM signé par l'ESA et DKIM vérifié par un autre hôte.
2. Une fois que le message est reçu sur l'autre extrémité, vérifiez les en-têtes du message pour l'en-tête « Authentification-résultats. » Recherchez la section DKIM de l'en-tête pour confirmer si elle passait la vérification DKIM ou pas. L'en-tête devrait sembler semblable à ce qui suit :

   Authentication-Results: mx1.example.net; spf=SoftFail smtp.mailfrom=user1@example.net;
   dkim=pass header.i=none; dmarc=fail (p=none dis=none) d=example.net

3. Recherchez l'en-tête « DKIM-signature » et la confirmez que le sélecteur et le domaine corrects sont utilisés :
   

   DKIM-Signature: a=rsa-sha256; d=example.net; s=selector2;
      c=simple; q=dns/txt; i=@example.net;
      t=1117574938; x=1118006938;
      h=from:to:subject:date;
      bh=MTIzNDU2Nzg5MDEyMzQ1Njc4OTAxMjM0NTY3ODkwMTI=;
      b=dzdVyOfAKCdLXdJOc9G2q8LoXSlEniSbav+yuU4zGeeruD00lszZ
               VoG4ZHRNiYzR