Попытка выяснить, как лучше всего реализовать DKIM на одном EC2, который будет иметь несколько эластичных IPS.
# /etc/opendkim.conf
...
Mode sv
Canonicalization relaxed/simple
ExternalIgnoreList refile:/etc/opendkim/TrustedHosts
InternalHosts refile:/etc/opendkim/TrustedHosts
KeyTable refile:/etc/opendkim/KeyTable
SigningTable refile:/etc/opendkim/SigningTable
SignatureAlgorithm rsa-sha256
...
# /etc/opendkim/KeyTable
default._domainkey.example.com example.com:hp-hv-1:/etc/opendkim/keys/default.private
default._domainkey.example.com example.com:hp-hv-2:/etc/opendkim/keys/default.private
# /etc/opendkim/SigningTable
*@example.com default._domainkey.example.com
Тогда у меня есть две записи DNS:
hp-hv-1._domainkey.example.com TXT "v=DKIM1;k=rsa;p=default.txt_key_goes_here"
hp-hv-2._domainkey.example.com TXT "v=DKIM1;k=rsa;p=default.txt_key_goes_here"
Для обоих экземпляров postfix в одном экземпляре EC2 каждый имеет следующее $ myhostname:
# postfixmulti instance #1
myhostname = hp-hv-1
# postfixmulti instance #2
myhostname = hp-hv-2
Оба экземпляра postfix находятся в одном экземпляре EC2, поэтому они оба используют одну и ту же пару закрытый / открытый ключ default.private / default.txt, поэтому нет необходимости добавлять дополнительные строки в KeyTable и SigningTable. Насколько я могу судить, мне нужно только добавить дополнительные строки в KeyTable и SigningTable, если я хочу реализовать несколько доменов (чего я не делаю).
Но когда я проверяю свои настройки DKIM, я продолжаю получать ответы «пройдено: нейтрально», в которых говорится, что электронные письма не подписаны, но они подписаны, я вижу это в файле журнала:
# snippet from /var/log/maillog
Sep 25 15:15:31 service-a-4 opendkim[27420]: 5B4A3625F0: DKIM-Signature field added (s=hp-hv-1, d=example.com)
Что мне не хватает?
Версии:
CentOS 6.5
Postfix v2.6.6
Opendkim v2.9
Хорошо, я был явно сбит с толку, я все думал, что "s" в поле подписи DKIM должен был идентифицировать $ myhostname из конфигурации postfix, но на самом деле это не так. Прочитав больше о Ротация ключей DKIMнаконец-то он на меня надел, «s» - это просто селектор для использования из KeyTable, SigningTable и DNS.
Проверь это:
# /etc/opendkim/KeyTable
# Format: selector(1) domain:selector(2):/path/to/key
# selector(1) is used in the /etc/opendkim/SigningTable
# selector(2) is built into the DKIM signature for every email sent, which is used to lookup the DNS TXT entry: mail-1_r-1._domainkey.example.com
mail-1_r-1._domainkey.example.com example.com:mail-1_r-1:/etc/opendkim/keys/mail-1_r-1.private
А теперь, если я хочу повернуть ключи, я бы сделал это:
# /etc/opendkim/KeyTable
# Generate new private/public key pair, and rename accordingly
mail-1_r-1._domainkey.example.com example.com:mail-1_r-1:/etc/opendkim/keys/mail-1_r-1.private
mail-1_r-2._domainkey.example.com example.com:mail-1_r-2:/etc/opendkim/keys/mail-1_r-2.private
Затем в таблице подписи:
# /etc/opendkim/SigningTable
*@shouttag.com mail_r-1._domainkey.example.com
*@shouttag.com mail_r-2._domainkey.example.com
Тогда для записей DNS у вас будет следующее
mail_r-1.domainkey.example.com "v=DKIM1;k=rsa;p=mail_r-1.txt_key_goes_here"
mail_r-2.domainkey.example.com "v=DKIM1;k=rsa;p=mail_r-2.txt_key_goes_here"
Эти записи DNS используются для подтверждения того, что электронная почта действительно была отправлена из вашего домена (следовательно, почта с определенным ключом домена). Затем примерно через 7 дней вы можете удалить mail_r-1.domainkey.example.com.