Долгое время я использую Let's encrypt для всех моих зашифрованных сервисов (HTTPS, IMAPS, SMTPS, FTPS). Теперь я хочу добавить подпись DKIM для своего почтового сервера. Но возможно ли это с помощью Let's Encrypt? Мне нужно добавить открытый ключ в запись DKIM DNS. Но сертификат Let's Encrypt создается каждые 30 дней.
Как я могу использовать свой сертификат Let's Encrypt для DKIM?
(Я знаю, как настроить DKIM на почтовом сервере. Мой вопрос касается записи DNS для DKIM)
Ответ на этот вопрос: ты не должен.
Согласно RFC:
Приложения для подписи требуют некоторого уровня уверенности в том, что открытый ключ проверки связан с заявленной подписывающей стороной. Многие приложения достигают этого с помощью сертификатов открытых ключей, выпущенных доверенной третьей стороной. Тем не менее, DKIM может достичь достаточного уровня безопасности со значительно улучшенной масштабируемостью, просто заставив Проверяющий запросить предполагаемую запись DNS подписывающего лица (или какой-либо эквивалент безопасности), чтобы получить открытый ключ.
Вы можете просто подписать свои собственные ключи с помощью DKIM, потому что он проверяется DNS. Вы можете убедиться, что DKIM правильно проверен, внедрив DMARC и DNSSEC.