Re: DKIM Signatur & DNS-Einträge für mehrere Domains

Florian florian at bodici.de
Mo Jan 23 09:09:22 CET 2023 

Hallo Sebastian,

jetzt gibt es einige unterschiedliche Stimmen, aber im Prinzip warst du 
schon auf der richtigen Fährte. Es ist zwar richtig, dass die 
signierende Domain im d= Tag technisch gesehen von der FROM abweichen 
darf, jedoch sollte man das unbedingt vermeiden. Eine Fremdsignatur 
erhöht nämlich nicht deine Glaubwürdigkeit als Absender. DMARC erwartet 
beispielsweise ebenfalls eine "aligned" DKIM Signatur (also eine 
Signatur von der gleichen Domain), um gültig zu testen.

Im Prinzip hast du recht, der elend lange RSA Key muss für jede 
verwendete FROM nach dem Muster <Selektor>._domainkey.<Domain> 
eingetragen werden. Wenn du den gleichen Key für mehrere Domains 
verwendest, kannst du mit CNAMES ein klein wenig abkürzen. Das hilft Dir 
insbesondere beim regelmäßigen Schlüsseltausch (Key rotation) und vielen 
Domains.

PS: Wenn du kürzere Keys willst, wär ED25519 vielleicht was für dich!? 
Aktuell würde ich aber nur empfehlen, es parallel zu RSA einzusetzen. 
Ein Howto für Rspamd und Postfix habe ich mal hier geschrieben: 
https://bodici.de/double-dkim-signing-mit-rsa-und-ed25519-im-postfix-via-rspamd-einrichten

Viele Grüße

Florian Vierke
mobile: +49 177 8079538
Motto des Monats: ... und wo warst du am 12. Februar 2022? ... und am 30. April?


Am 23.01.2023 um 08:47 schrieb Tom Mittelstädt via Postfixbuch-users:
> Hallo Sebastian,
>
> Am Samstag, 21. Januar 2023, 22:39:29 CET schrieb sebastian--- via
> Postfixbuch-users:
>> ich habe einen Mailserver - der Hostname lautet  mail.meinserver.org
>>
>> Ich erstelle also einen DKIM 2023._domainkey.mail.meinserver.org mit
>> dieser elend langen Zeichenkette.
>>
>> Wenn der Mailserver auch für andere Domains z.B.  @meier.de  oder
>> @mueller.com zuständig sein soll, muss ich dann auch
>>
>> 2023._domainkey.meier.de
>> und
>> 2023._domainkey.mueller.com
>>
>> die gleiche elend lange Zeichenkette eintragen?
> Nein, musst Du nicht. Dein DKIM-Signer erstellt ja die Signatur, und muss da
> reinschreiben, wo man seinen öffentlichen Schlüssel abhohlen kann.
> Das wäre also sowohl bei @meier.de oder @mueller.com in der Signatur dann
> irgendwas wie (für Dein oben genanntes Beispiel):
>
>     DKIM-Signature: (...); d=mail.meinserver.org; s=2023; (...)
>
> "d=" ist der Signing Domain Identifier (SDID), "s=" der Selector
>
> Das validierende System schaut dann einfach bei
> 2023._domainkey.mail.meinserver.org nach dem Pubkey.
>
> https://www.rfc-editor.org/rfc/rfc6376#section-3.5
>> d= The SDID claiming responsibility for an introduction of a message
>>     into the mail stream (plain-text; REQUIRED).  Hence, the SDID
>>     value is used to form the query for the public key.
>
>

Mehr Informationen über die Mailingliste Postfixbuch-users