dkim - Aufwand vs. Nutzen

Andreas Schulze andreas.schulze at datev.de
Di Jul 17 21:40:38 CEST 2018


Am 17.07.2018 um 11:20 schrieb Hajo Locke:
> Hallo Liste,
>
> ich plane für eine verschiedenen Domains dkim einzusetzen, die 
> technischen Tests habe ich bereits absolviert.
> Mir stellt sich da aktuell eine andere Frage. Sollte ich für jede der 
> Domains einen eigenen privaten Key erzeugen und Mails der Domains 
> separat signieren oder arbeite ich besser mit einem einzigen Key für 
> alle Domains.
> Vorteil verschiedener Keys wäre die erhöhte Sicherheit untereinander 
> aber ich müsste verschiedene DNS Einträge und verschiedene Selektoren 
> pflegen.
> Mit einem einzigen Key würde die Verwaltbarkeit für mich enorm 
> steigen. Ich könnte Mails von domaina.de und domainb.de signieren und 
> dabei im dkim hinterlegen, dass öffentlicher Schlüssel zum 
> verifizieren unter domainc.de zu finden ist. Die User der Domains 
> könnten dann zwar keine individuellen Einstellungen haben, aber ich 
> müsste alles nur in einfacher Ausführung pflegen. Was meint Ihr?

ich würde dringend empfehlen, pro Domain einen eigenen DKIM-Key zu benutzen.
DKIM-Keys kosten nichts.
DKIM Keyrotation pro Domain ist z.B. entspannter Du kannst vorab mit 
einer TestDomain üben.
Wenn alle Domains den gleichen Key nutzen, will ein Schlüsseltausch 
vorher sehr genau geübt sein.

Ich kann Dir jetzt nicht unbedingt "das Killerargument" nennen, aber 
wenigstens Empfehlen möchte ich einen Key pro Domain...

Andreas




Mehr Informationen über die Mailingliste Postfixbuch-users