Introdução
Este original descreve como substituir a chave de assinatura existente DKIM em uma chave pública ESA e DKIM no DNS sem o tempo ocioso da máquina.
Requisitos
- Acesso à ferramenta de segurança do email (ESA).
- O acesso ao DNS a adicionar/remove os registros TXT.
- O ESA deve já assinar mensagens com um perfil DKIM.
Crie uma chave de assinatura nova DKIM
Você precisará primeiramente de criar uma chave de assinatura nova DKIM no ESA:
- Vão às políticas do correio > as chaves de assinatura e selecionam “adicionam a chave…”
- Nomeie a chave DKIM e gerencia uma chave privada ou uma pasta nova em um existente.
Note: Na maioria dos casos, recomendou que você escolhe um tamanho da chave privada de 2048 bit.
- Comprometa as mudanças.
Note: Esta mudança não afetará DKIM que assinam ou fluxo de correio. Nós apenas estamos adicionando uma chave de assinatura DKIM e não a estamos aplicando a nenhum perfil de assinatura DKIM ainda.
Gerencia um perfil de assinatura novo DKIM e publique o registro DNS ao DNS
Em seguida, você precisará de criar um perfil de assinatura novo DKIM, gerencie um registro DKIM DNS daquele perfil de assinatura DKIM e publica esse registro ao DNS:
- Vão às políticas do correio > os perfis de assinatura e o clique “adiciona o perfil…”
- Dê ao perfil um nome descritivo no campo “nome de perfil.”
- Incorpore seu domínio ao campo “Domain Name.”
- Entre em uma corda nova do seletor no campo “seletor.”
Note: O seletor é uma corda arbitrária que seja usada para permitir registros múltiplos DKIM DNS para um domínio dado. Nós estamos indo utilizar o seletor para permitir mais de um registro DKIM DNS no DNS para seu domínio. É importante usar um seletor novo que seja diferente do perfil de assinatura já existente DKIM.
- Selecione a chave de assinatura DKIM criada na seção anterior no campo “chave de assinatura.”
- Na parte inferior mesma do perfil de assinatura, adicionar um “usuário novo.” Este usuário deve ser um endereço email unsused do placeholder.
Cuidado: É importante que você adiciona um endereço email não utilizado como um usuário para este perfil de assinatura. Se não, este perfil pode assinar mensagens externa antes que o registro DKIM TXT esteja publicado que faz com que a verificação DKIM falhe. Adicionar um endereço email não utilizado como um usuário assegura-se de que este perfil de assinatura não assine nenhuns mensagens externa.
- Clique em Submit.
- De aqui, o clique “gerencie” na coluna “registro do texto DNS” para o perfil que de assinatura você apenas criou e copia o registro DNS que é gerado. Deve olhar similar ao seguinte:
selector2._domainkey.example.com. IN TXT "v=DKIM1; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAwMaX6wMAk4iQoLNWiEkj0BrIRMDHXQ7743OQUOYZQqEXSs+jMGomOknAZJpjR8TwmYHVPbD+30QRw0qEiRY3hYcmKOCWZ/hTo+NQ8qj1CSc1LTMdV0HWAi2AGsVOT8BdFHkyxg40oyGWgktzc1q7zIgWM8usHfKVWFzYgnattNzyEqHsfI7lGilz5gdHBOvmF8LrDSfN" "KtGrTtvIxJM8pWeJm6pg6TM/cy0FypS2azkrl9riJcWWDvu38JXFL/eeYjGnB1zQeR5Pnbc3sVJd3cGaWx1bWjepyNQZ1PrS6Zwr7ZxSRa316Oxc36uCid5JAq0z+IcH4KkHqUueSGuGhwIDAQAB;"
- Comprometa as mudanças.
- Submeta o registro DKIM DNS TXT em etapa 2 ao DNS.
- Espere até que o registro DKIM DNS TXT esteja propagado inteiramente.
Suprima do perfil de assinatura velho e remova o usuário do placeholder do perfil de assinatura novo
Uma vez que o registro DKIM TXT foi submetido ao DNS e você se assegurou de que esteja propagado, a próxima etapa será suprimir do perfil de assinatura velho e remover o usuário do placeholder do perfil de assinatura novo:
Note: É altamente recomendado que você backup o arquivo de configuração ESA antes de continuar com as seguintes etapas. Isto é porque se você suprime do perfil de assinatura velho DKIM e há uma necessidade de reverter de volta à configuração precedente, você poderá carregar facilmente o arquivo de configuração suportado.
- Vão às políticas do correio > os perfis de assinatura, selecionam o perfil de assinatura velho DKIM e clicam a “supressão.”
- Entre no perfil de assinatura novo DKIM, selecione o usuário atual do placeholder e o clique “remove.”
- O clique “submete-se.”
- Sob o clique “teste” do perfil” da coluna “teste para o perfil de assinatura novo DKIM. Se o teste é bem sucedido, continue à próxima etapa. Se não, confirme que o registro DKIM DNS TXT esteve propagado inteiramente.
- Comprometa as mudanças feitas.
Teste o fluxo de correio para confirmar passagens DKIM
Neste momento, você é feito com configurar DKIM mais. Contudo, você deve testar DKIM que assina para assegurar-se de que esteja assinando seus mensagens externa como esperado e esteja passando a verificação DKIM:
- Envie uma mensagem com o ESA assegurando-se de que obtenha DKIM assinado pelo ESA e DKIM verificado por um outro host.
- Uma vez que a mensagem é recebida na outra extremidade, verifique os encabeçamentos da mensagem para ver se há o encabeçamento “Autenticação-resultados.” Procure a seção DKIM do encabeçamento para confirmar se passou a verificação DKIM ou não. O encabeçamento deve olhar similar ao seguinte:
Authentication-Results: mx1.example.net; spf=SoftFail smtp.mailfrom=user1@example.net;
dkim=pass header.i=none; dmarc=fail (p=none dis=none) d=example.net
- Procure o encabeçamento “DKIM-assinatura” e confirme que o seletor e o domínio corretos estão sendo usados:
DKIM-Signature: a=rsa-sha256; d=example.net; s=selector2;
c=simple; q=dns/txt; i=@example.net;
t=1117574938; x=1118006938;
h=from:to:subject:date;
bh=MTIzNDU2Nzg5MDEyMzQ1Njc4OTAxMjM0NTY3ODkwMTI=;
b=dzdVyOfAKCdLXdJOc9G2q8LoXSlEniSbav+yuU4zGeeruD00lszZ
VoG4ZHRNiYzR
- Uma vez que você é satisfeito que DKIM está trabalhando como pretendido, espere pelo menos uma semana antes de remover o registro velho DKIM TXT. Isto assegura-se de que todas as mensagens assinadas pela chave velha DKIM estejam processadas.