DKIM ja DMARC
DKIM ja DMARC on kaks venda kolmest (kolmas on SPF, millel on eraldi peatükk SPF_kasutamine_Postfixiga).
DKIM tähendab DomainKeys Identified Mail DMARC tähendab Domain-based Message Authentication Reporting and Conformance
Näites on kasutatud Arch Linuxit, Postfixi ja OpenDKIM ja OpenDMARC tarkvarasid. Eeldatud on, et Postfix on juba esialgselt seadistatud.
Sisukord
DKIM
DKIM mõte on selles, et väljuvatele kirjadele pannakse päisesse lisainformatsioon kirja allkirjastamise kohta. Käesoleval hetkel kasutatakse RSA võtmeid (vaikimisi 1024bit). Väga suuri võtmeid ei soovitata kasutada, kuna avalik võti ei pruugi ära mahtuda UDP vastusesse*. Lisaks võib suurem võti põhjustada suurt koormust arvuti protsessorile (olenevalt muidugi kirjade "käibest"/mahust).
DKIM seadistamisel on alustuseks vaja DKIMi takrvara seadistada ja seejärel nimeserverisse lisada oma domeenile TXT kirje. TXT kirje peab olema kujul: selector._domainkey.domeen.ee ja selle sisu
"v=DKIM1; k=rsa; s=email; "avalik võti"
* - Siit tuleb ka välja UDP vastuse mõte - kuna DNS päringud on UDP, siis peab kogu TXT päring mahtuma UDP vastusesse ära.
OpenDKIM seadistamine
Paigalda DKIM tarkvara kasutades pakihaldust
pacman -Sy opendkim
Tekib töötav konfiguratsioonifail
/etc/opendkim/opendkim.conf
Tutvu sellega ja seadista vastavalt.
Konfiguratsioon
Vaikimisi töötab opendkim sign ja verify režiimis. Seda saad muuta Mode parameetriga:
- sv - sign + verify
- v - verify
- s - sign
Lisks on olulised konfiguratsiooniparameetrid SigningTable, KeyTable ja InternalHosts parameetrid.
- mis/miks need on?
Uue allkirjastatava tsooni lisamine
to be done
to be done:
- näidiskiri (sh päised)
- näidiskäsud
Probleemid DKIMiga
Kui kasutad rohkem kui ühte väljuvat e-postiserverit sama domeeni kirjade saatmiseks (nt mailchip või mõni muu masspostitustööriist vmt), siis peaksid seadistama kõigile DKIMi kasutamise. Vastasel juhul on osad kirjad varustatud DKIMi päisega ja osad mitte. Kuna aga su nimeserverist tuleb DKIMi vastus - mis osutub valideerimisel valeks - võib saaja kirja kas minema visata või karantiini või junki panna.
DKIMi võtmeid võib olla rohkem kui üks ja neid saad eraldada selektoriga.
DMARC
OpenDMARC seadistamine
to be continued
Lingid
- Zone DKIM: https://help.zone.eu/kb/dkim/
- Zone DMARC: https://help.zone.eu/kb/dmarc-reeglid/
- OpenDMARC - http://www.trusteddomain.org/opendmarc/
- OpenDKIM - http://opendkim.org/
