Introduction
Ce document décrit comment remplacer la clé de signature DKIM existante sur une clé publique ESA et DKIM dans DNS sans temps d'arrêt.
Exigences
- Accès à l'appliance de sécurisation de la messagerie (ESA).
- Accès au DNS pour ajouter/supprimer des enregistrements TXT.
- L'ESA doit déjà signer des messages avec un profil DKIM.
Créer une nouvelle clé de signature DKIM
Vous devez d'abord créer une nouvelle clé de signature DKIM sur l'ESA :
- Accédez à Politiques de messagerie > Clés de signature et sélectionnez « Ajouter une clé... »
- Nommez la clé DKIM et générez une nouvelle clé privée ou collez-en une existante.
Remarque : dans la plupart des cas, il est recommandé de choisir une taille de clé privée de 2 048 bits.
- Validez les modifications.
Remarque : cette modification n'affectera pas la signature DKIM ou le flux de messages. Nous ajoutons simplement une clé de signature DKIM et ne l'appliquons pas encore à un profil de signature DKIM.
Générer un nouveau profil de signature DKIM et publier l'enregistrement DNS dans DNS
Ensuite, vous devez créer un nouveau profil de signature DKIM, générer un enregistrement DNS DKIM à partir de ce profil de signature DKIM et publier cet enregistrement dans DNS :
- Accédez à Politiques de messagerie > Profils de signature, puis cliquez sur Ajouter un profil.
- Attribuez un nom descriptif au profil dans le champ « Nom du profil ».
- Entrez votre domaine dans le champ « Nom de domaine ».
- Entrez une nouvelle chaîne de sélection dans le champ "Sélecteur".
Remarque : Le sélecteur est une chaîne arbitraire utilisée pour autoriser plusieurs enregistrements DNS DKIM pour un domaine donné. Nous allons utiliser le sélecteur pour autoriser plus d'un enregistrement DNS DKIM dans DNS pour votre domaine. Il est important d'utiliser un nouveau sélecteur différent du profil de signature DKIM existant.
- Sélectionnez la clé de signature DKIM créée dans la section précédente dans le champ "Clé de signature".
- En bas du profil de signature, ajoutez un nouvel « Utilisateur ». Cet utilisateur doit être une adresse e-mail d'espace réservé inutilisée.
Attention : il est important d'ajouter une adresse e-mail inutilisée en tant qu'utilisateur pour ce profil de signature. Sinon, ce profil peut signer des messages sortants avant la publication de l'enregistrement DKIM TXT, ce qui entraîne l'échec de la vérification DKIM. L'ajout d'une adresse e-mail inutilisée en tant qu'utilisateur garantit que ce profil de signature ne signe aucun message sortant.
- Cliquez sur Submit.
- À partir d'ici, cliquez sur « Générer » dans la colonne « Enregistrement de texte DNS » pour le profil de signature que vous venez de créer et copiez l'enregistrement DNS qui est généré. Il devrait ressembler à ce qui suit :
selector2._domainkey.example.com. IN TXT "v=DKIM1; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAwMaX6wMAk4iQoLNWiEkj0BrIRMDHXQ7743OQUOYZQqEXSs+jMGomOknAZJpjR8TwmYHVPbD+30QRw0qEiRY3hYcmKOCWZ/hTo+NQ8qj1CSc1LTMdV0HWAi2AGsVOT8BdFHkyxg40oyGWgktzc1q7zIgWM8usHfKVWFzYgnattNzyEqHsfI7lGilz5gdHBOvmF8LrDSfN" "KtGrTtvIxJM8pWeJm6pg6TM/cy0FypS2azkrl9riJcWWDvu38JXFL/eeYjGnB1zQeR5Pnbc3sVJd3cGaWx1bWjepyNQZ1PrS6Zwr7ZxSRa316Oxc36uCid5JAq0z+IcH4KkHqUueSGuGhwIDAQAB;"
- Validez les modifications.
- Envoyez l'enregistrement DNS TXT DKIM à DNS à l'étape 2.
- Attendez que l'enregistrement DNS TXT DKIM ait été entièrement propagé.
Supprimer l'ancien profil de signature et supprimer l'utilisateur de l'espace réservé du nouveau profil de signature
Une fois que l'enregistrement DKIM TXT a été envoyé au DNS et que vous avez vérifié qu'il a été propagé, l'étape suivante consiste à supprimer l'ancien profil de signature et à supprimer l'utilisateur de l'espace réservé du nouveau profil de signature :
Remarque : Il est vivement recommandé de sauvegarder le fichier de configuration ESA avant de procéder aux étapes suivantes. En effet, si vous supprimez l'ancien profil de signature DKIM et que vous devez revenir à la configuration précédente, vous pourrez facilement charger le fichier de configuration sauvegardé.
- Accédez à Politiques de messagerie > Profils de signature, sélectionnez l'ancien profil de signature DKIM et cliquez sur « Supprimer ».
- Accédez au nouveau profil de signature DKIM, sélectionnez l'utilisateur de l'espace réservé actuel et cliquez sur « Supprimer ».
- Cliquez sur « Envoyer ».
- Dans la colonne "Profil de test", cliquez sur "Test" pour le nouveau profil de signature DKIM. Si le test réussit, passez à l'étape suivante. Si ce n'est pas le cas, vérifiez que l'enregistrement DNS TXT DKIM a été entièrement propagé.
- Validez les modifications apportées.
Tester le flux de messages pour confirmer la réussite de DKIM
À ce stade, vous avez terminé la configuration de DKIM. Cependant, vous devez tester la signature DKIM pour vous assurer qu'elle signe vos messages sortants comme prévu et qu'elle réussit la vérification DKIM :
- Envoyez un message via l'ESA en vous assurant que DKIM est signé par l'ESA et que DKIM est vérifié par un autre hôte.
- Une fois le message reçu à l'autre extrémité, recherchez l'en-tête Authentication-Results dans les en-têtes du message. Recherchez la section DKIM de l'en-tête pour vérifier si elle a réussi ou non la vérification DKIM. L'en-tête doit ressembler à ce qui suit :
Authentication-Results: mx1.example.net; spf=SoftFail smtp.mailfrom=user1@example.net;
dkim=pass header.i=none; dmarc=fail (p=none dis=none) d=example.net
- Recherchez l'en-tête « DKIM-Signature » et vérifiez que le sélecteur et le domaine corrects sont utilisés :
DKIM-Signature: a=rsa-sha256; d=example.net; s=selector2;
c=simple; q=dns/txt; i=@example.net;
t=1117574938; x=1118006938;
h=from:to:subject:date;
bh=MTIzNDU2Nzg5MDEyMzQ1Njc4OTAxMjM0NTY3ODkwMTI=;
b=dzdVyOfAKCdLXdJOc9G2q8LoXSlEniSbav+yuU4zGeeruD00lszZ
VoG4ZHRNiYzR
- Une fois que vous êtes convaincu que DKIM fonctionne comme prévu, attendez au moins une semaine avant de supprimer l'ancien enregistrement DKIM TXT. Cela permet de s'assurer que tous les messages signés par l'ancienne clé DKIM ont été traités.