postfix - dkim - praxisfragen

[Hajo Locke]

Hallo,

danke für deine Antworten. Ich habe einiges probiert und denke ich bin 
gerüstet. Auch Massenmails erzeugen keine signifikante Mehrlast.
Nur eine letzte Frage. Welchen Wert empfiehlst du für Canonicalization 
in der opendkim.conf?
Oft lese ich von relaxed/simple, aber wäre ein relaxex/relaxed zur 
Fehlervermeidung nicht besser?
Woher weiß eigentlich der empfangende Server beim Vergleich, welchen 
Algorithmus ich beim hashen verwendet habe? Oder hashed er zwei mal, um 
beide Möglichkeiten prüfen zu können?

Danke,
Hajo

Am 24.10.2017 um 09:32 schrieb Andreas Schulze:
> Am 23.10.2017 um 14:42 schrieb Hajo Locke:
>> - Wie oft wechselt Ihr die Schlüssel? ich hatte so 6 Monate bei 2048er Schlüssellänge angepeilt . Ist das ausreichend oder lasst Ihr längere Pausen?
> https://www.m3aawg.org/documents/en/m3aawg-dkim-key-rotation-best-common-practices
>
> praktisch rotieren die wenigsten Versender vollautomatisch. 3-6 Monate wäre für mich aber auch ein guter Zeitraum.
> Wichtiger ist die Schlüselgröße. Da greife ich auch gern zu 2048 Bit nicht mehr aber auch nicht weniger ...
>
>> - Verwendet Ihr "subdomains yes" in der opendkim.conf bzw. --subdomains bei opendkim-genkey? Aus meiner Sicht ist ein Key für Domain/Subdomains ausreichend und muss nicht weiter aufgeteilt werden.
> persönlicher Geschmack / hängt von der Anforderung ab. Ich habe kein Bedarf dafür. Subdomain signiere ich separat mit einem passenden Schlüssel.
>
>> - Muss man Lastprobleme erwarten? Unter Umständen versendet ein Kunde Newsletter mit tausenden Empfängern die dann alle signiert würden. Ist dkim da übermäßig cpu hungrig?
> nein, Wenn Dein Server Luft hat, plötzlich ein Vielfaches an E-Mails zu verarbeiten, dann kann er auch ganz locker DKIM-Signaturen erzeugen, ohne zu explodieren.
>
>
>