DKIM Signing

Patrick Ben Koetter p at sys4.de
Di Nov 22 14:02:58 CET 2022


Hallo Andre,

* Andre <postfixbuch-users at listen.jpberlin.de>:
> Moin,
> 
> SPF ist bei mir implementiert.
> 
> Nun würde ich gerne den Mailserver mit DKIM + DMARC ergänzen.
> 
> Da der Mailserver viele Domains und E-Mail-Konten verwaltet, habe ich die
> Idee, den selben DKIM-Schlüssel für ALLE Domains zu verwenden.
> 
> Nun habe ich gelesen, dass in diesem Fall die DMARC-Verifizierung
> fehlschlagen wird.
> 
> Ist da was dran oder ist die Info falsch/veraltet?

diese Information ist falsch. Ein DMARC-Record macht keine Aussagen darüber
*welcher* DKIM-Schlüssel verwendet wird und somit ist es (standardmäßig) auch
nicht möglich, einen Zusammenhang zwischen dem Schlüsselmaterial der einen mit
dem einer anderen Domain herzustellen.

Auch stellen Provider von Großplattformen keinen Zusammenhang her. Diese
interessiert im Moment der Prüfung ausschließlich *ob* sie den
im Selektor referenzierten Schlüssel laden und mit dessen Hilfe die Signaturen
über Header und Body bestätigen, also verifizieren können.

Dein Wunsch, ein Schlüsselpaar für viele Domains einzusetzen, ist
nachvollziehbar und genau deshalb wird die kommende Technische Richtlinie
"TR-03182 E-Mail Authentication" des BSI dies auch explizit gestatten und im
Text auch so erwähnen.

> Also kann ich den selben DKIM-Schlüssel für ALLE Domains nutzen um
> ausgehende Mails zu signieren?

Ja, du kannst. Und wenn Du rspamd verwendest, dann signiere gleich zusätzlich
zum RSA-SHA256 mit ED25519-SHA256 Algorithmus, weil wir alle mittel- bis
langfristig wegen der viel kürzeren Schlüssel von RSA nach ED25519 wechseln
sollten.

Viel Erfolg

p at rick

-- 
[*] sys4 AG

https://sys4.de, +49 (89) 30 90 46 64
Schleißheimer Straße 26/MG,80333 München

Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer, Wolfgang Stief
Aufsichtsratsvorsitzender: Florian Kirstein



Mehr Informationen über die Mailingliste Postfixbuch-users