dkim - Aufwand vs. Nutzen

Hajo Locke Hajo.Locke at gmx.de
Mi Jul 18 16:16:21 CEST 2018 

Hallo,


Am 17.07.2018 um 21:40 schrieb Andreas Schulze:
> Am 17.07.2018 um 11:20 schrieb Hajo Locke:
>> Hallo Liste,
>>
>> ich plane für eine verschiedenen Domains dkim einzusetzen, die 
>> technischen Tests habe ich bereits absolviert.
>> Mir stellt sich da aktuell eine andere Frage. Sollte ich für jede der 
>> Domains einen eigenen privaten Key erzeugen und Mails der Domains 
>> separat signieren oder arbeite ich besser mit einem einzigen Key für 
>> alle Domains.
>> Vorteil verschiedener Keys wäre die erhöhte Sicherheit untereinander 
>> aber ich müsste verschiedene DNS Einträge und verschiedene Selektoren 
>> pflegen.
>> Mit einem einzigen Key würde die Verwaltbarkeit für mich enorm 
>> steigen. Ich könnte Mails von domaina.de und domainb.de signieren und 
>> dabei im dkim hinterlegen, dass öffentlicher Schlüssel zum 
>> verifizieren unter domainc.de zu finden ist. Die User der Domains 
>> könnten dann zwar keine individuellen Einstellungen haben, aber ich 
>> müsste alles nur in einfacher Ausführung pflegen. Was meint Ihr?
>
> ich würde dringend empfehlen, pro Domain einen eigenen DKIM-Key zu 
> benutzen.
> DKIM-Keys kosten nichts.
> DKIM Keyrotation pro Domain ist z.B. entspannter Du kannst vorab mit 
> einer TestDomain üben.
Danke, ich werde auch wegen Gunthers Antwort separate Keys für die 
Domains empfehlen, die Programmierer sind bereits informiert.
Schlüsseltausch sehe ich gar nicht so kritisch, eventuell hab ich ja was 
übersehen.
Ich erzeuge einen neuen Key und einen neuen Separator im DNS für den 
öffentlichen Bestandteil. Die neuen Daten veröffentliche ich im DNS, den 
alten Separator kann ich dabei ja bestehen lassen. Nach ein paar Stunden 
verwende ich den neuen privaten Schlüssel für opendkim und dieser 
signiert nun damit. Eingehende Mails sollten dann wieder vollständig 
prüfbar sein. Nach Zeit x kann ich dann den alten Separator irgendwann 
man entfernen.
Das müsste es doch gewesen sein?
> Wenn alle Domains den gleichen Key nutzen, will ein Schlüsseltausch 
> vorher sehr genau geübt sein.
>
> Ich kann Dir jetzt nicht unbedingt "das Killerargument" nennen, aber 
> wenigstens Empfehlen möchte ich einen Key pro Domain...
>
> Andreas
>
>
>
Danke,
Hajo

Mehr Informationen über die Mailingliste Postfixbuch-users