Verwenden von DKIM ab Version 13

Ab Version 13 erzeugt NoSpamProxy zwei DKIM-Schlüssel, einen im RSA-Format und einen EdDSA-Format (Edwards-Curve Digital Signature Algorithm). Die RFC hierzu finden Sie unter https://tools.ietf.org/html/rfc8463.

Im Beispiel der “key2018r” ist im RSA-Format wie bisher auch. Der “key2018e” ist mit Version 13 neu und muss zusätzlich im DNS veröffentlicht werden.

Die Schlüssellänge des von NoSpamProxy generierten RSA-Schlüssels beträgt 1024 Bit.

Upgrade auf NoSpamProxy Version 13

Nach einem Upgrade auf Version 13 wird der EdDSA-Key automatisch zusätzlich zu den existierenden Schlüsseln erzeugt. Ebenfalls wird folgender Vorfall auf der Startseite der Konsole dargestellt “Der DNS-Eintrag dkim.teste._domainkey.dkim.test (Unternehmensdomäne) fehlt. Bitte erstellen Sie den DNS-Eintrag um diesen Vorfall zu lösen. Wir werden den Eintrag in einigen Minuten erneut überprüfen.”

E-Mails gelten als gültig, solange eine der aufgetragenen DKIM-Schlüssel erfolgreich validiert werden konnte. Es stellt also kein Problem dar, wenn der neue DKIM-Schüssel im EdDSA-Format benutzt wird aber noch nicht veröffentlich ist. Dies sollte aber trotzdem zeitnah umgesetzt werden.

Falls für die Intranetrolle ein interner DNS-Server konfiguriert ist, der nicht ins Internet auflöst, müssen die DKIM-Einträge auf diesem DNS-Server ebenfalls erstellt werden.

Sicherung der DKIM-Schlüssel

Vor jedem Update des NoSpamProxy-Systems auf eine neue Version, oder bei normalen Sicherungen, sollte der aktuelle DKIM-Schlüssel exportiert und gesichert werden. Den Schlüssel kann man unter “Identitäten > DKIM-Schlüssel” exportieren und im Falle einer Wiederherstellung des Systems auch wieder importieren.

HINWEIS: Manche DKIM Validierungstools geben bei DKIM Schlüssel im neuen EdDSA-Format noch einen Fehler aus, da diese nur RSA-Formate erwarten. Funktionierende Tools sind z.B. MXToolBox https://mxtoolbox.com/dkim.aspx