Verwenden von DKIM ab Version 13

Ab Version 13 erzeugt NoSpamProxy zwei DKIM-Schlüssel, einen im RSA-Format und einen EdDSA-Format (Edwards-Curve Digital Signature Algorithm). Die RFC hierzu finden Sie unter https://tools.ietf.org/html/rfc8463.

Im Beispiel der “key2018r” ist im RSA-Format wie bisher auch. Der “key2018e” ist mit Version 13 neu und muss zusätzlich im DNS veröffentlicht werden.

Upgrade auf NoSpamProxy Version 13

Nach einem Upgrade auf Version 13 wird der EdDSA-Key automatisch zusätzlich zu den existierenden Schlüsseln erzeugt. Ebenfalls wird folgender Vorfall auf der Startseite der Konsole dargestellt “Der DNS-Eintrag dkim.teste._domainkey.dkim.test (Unternehmensdomäne) fehlt. Bitte erstellen Sie den DNS-Eintrag um diesen Vorfall zu lösen. Wir werden den Eintrag in einigen Minuten erneut überprüfen.”

E-Mails gelten als gültig, solange eine der aufgetragenen DKIM-Schlüssel erfolgreich validiert werden konnte. Es stellt also kein Problem dar, wenn der neue DKIM-Schüssel im EdDSA-Format benutzt wird aber noch nicht veröffentlich ist. Dies sollte aber trotzdem zeitnah umgesetzt werden.

Falls für die Intranetrolle ein interner DNS-Server konfiguriert ist, der nicht ins Internet auflöst, müssen die DKIM-Einträge auf diesem DNS-Server ebenfalls erstellt werden.

Erstellung eines neuen Schlüsselpaares

Ab Version 13 wird eine größere Verschlüsselungssicherheit (2048bit) für den RSA-Schlüssel verwendet, wodurch der Schlüssel größer als die im DNS erlaubten 255 Zeichen wird. Hierfür muss der erzeugte Schlüssel beim Einbinden in das DNS korrekt umgebrochen werden. Hierfür verwenden Sie das doppelte Anführungszeichen (“) und brechen entsprechend dort um, so dass im ersten Teil weniger als 255 Zeichen enthalten sind.

Erzeugter Schlüssel in NoSpamProxy (ohne Umbruch):

"v=DKIM1; k=rsa;

p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQ

EAzvf5N0hu8i4wM5quF3e5otVwN/IhKeoEEbkstlIgGY

XSZQ+Tc7tJmkn/QyD8rvTWhAdmrLPfsDt2GwCkKBlupw

P7mtyQYR8bzw2fPCiUMW+Y7FyfRJSAFhRwykkrG1JbCy

J5Phn8qRYH4Rq1lo8BavEr7+/MeEf/CR1gdXH6kQ+SEc

a0M/2OJjoHOLdmvsyb9qnBa5HB58DQr6FpneHXCfAY6m

OI6vykmkVfb/MAr9CZFKrWY+17dPHDhKJDEwsQymCGUu

GwzLwlPcjLVbMSQGXrtdWy8cJbeOa+iO2Gwp4yS2urmT

/k8aK4256GhSQbBH3HOCxRgNL3Yb4G1mo92QIDAQAB"

Zu verwendender Schlüssel im DNS (mit Umbruch)

"v=DKIM1; k=rsa;

p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQ

EAzvf5N0hu8i4wM5quF3e5otVwN/IhKeoEEbkstlIgGY

XSZQ+Tc7tJmkn/QyD8rvTWhAdmrLPfsDt2GwCkKBlupw

P7mtyQYR8bzw2fPCiUMW+Y7FyfRJSAFhRwykkrG1JbCy

J5Phn8qRYH4Rq1lo8BavEr7+/MeEf/CR1gdXH"

"6kQ+SEca0M/2OJjoHOLdmvsyb9qnBa5HB58DQr6Fpne

HXCfAY6mOI6vykmkVfb/MAr9CZFKrWY+17dPHDhKJDEw

sQymCGUuGwzLwlPcjLVbMSQGXrtdWy8cJbeOa+iO2Gwp

4yS2urmT/k8aK4256GhSQbBH3HOCxRgNL3Yb4G1mo92Q

IDAQAB"

Sicherung der DKIM-Schlüssel

Vor jedem Update des NoSpamProxy-Systems auf eine neue Version, oder bei normalen Sicherungen, sollte der aktuelle DKIM-Schlüssel exportiert und gesichert werden. Den Schlüssel kann man unter “Identitäten > DKIM-Schlüssel” exportieren und im Falle einer Wiederherstellung des Systems auch wieder importieren.

HINWEIS: Manche DKIM Validierungstools geben bei DKIM Schlüssel im neuen EdDSA-Format noch einen Fehler aus, da diese nur RSA-Formate erwarten. Funktionierende Tools sind z.B. MXToolBox https://mxtoolbox.com/dkim.aspx