Inleiding
Dit document beschrijft hoe de bestaande DKIM-ondertekeningssleutel op een ESA en DKIM-openbare sleutel in DNS zonder downtime kan worden vervangen.
Vereisten
- Toegang tot de e-mail security applicatie (ESA).
- Toegang tot DNS om TXT-records toe te voegen of te verwijderen.
- De ESA moet reeds berichten met een DKIM-profiel ondertekenen.
Maak een nieuwe DKIM-ondertekensleutel
U moet eerst een nieuwe DKIM-ondertekeningssleutel maken op de ESA:
- Ga naar e-mailbeleid > Sleutels ondertekenen en selecteer "Sleutel toevoegen..."
- Noem de DKIM-toets en genereer een nieuwe private-toets of plak in een bestaande.
Opmerking: in de meeste gevallen is het aanbevolen om een 2048-bits privé-sleutelgrootte te kiezen.
- Breng de veranderingen aan.
Opmerking: deze wijziging heeft geen invloed op de DKIM-ondertekening of e-mailstroom. We voegen alleen een DKIM-ondertekensleutel toe en passen die nog niet toe op een DKIM-ondertekeningsprofiel.
Genereert een nieuw DKIM-ondertekeningsprofiel en publiceert de DNS-record naar DNS
Vervolgens moet u een nieuw DKIM-ondertekeningprofiel maken, een DKIM DNS-record genereren van dat DKIM-ondertekeningprofiel en dat record publiceren naar DNS:
- Ga naar Mail Policies > Profielen ondertekenen en klik op "Profiel toevoegen..."
- Geef het profiel een beschrijvende naam in het veld "Profielnaam."
- Voer uw domein in in het veld "Domain Name."
- Voer een nieuwe selectorstring in het veld "Selector".
Opmerking: De selector is een willekeurige string die gebruikt wordt om meerdere DKIM DNS records voor een gegeven domein toe te staan. We gaan de selector gebruiken om meer dan één DKIM DNS record in DNS voor uw domein toe te staan. Het is belangrijk om een nieuwe selector te gebruiken die verschilt van het reeds bestaande DKIM-ondertekeningsprofiel.
- Selecteer de DKIM-ondertekensleutel die in de vorige sectie in het veld "Ondertekensleutel" is gemaakt.
- Voeg een nieuwe "Gebruiker" toe aan de onderkant van het ondertekeningsprofiel. Deze gebruiker moet een ongebruikt plaatsaanduiding e-mailadres zijn.
Waarschuwing: het is belangrijk dat u een ongebruikt e-mailadres als gebruiker toevoegt voor dit ondertekeningsprofiel. Anders ondertekent dit profiel mogelijk uitgaande berichten voordat de DKIM TXT-record wordt gepubliceerd, waardoor de DKIM-verificatie mislukt. Het toevoegen van een ongebruikt e-mailadres als gebruiker zorgt ervoor dat dit ondertekeningsprofiel geen uitgaande berichten ondertekent.
- Klik op Verzenden.
- Klik hier op "Generate" in de kolom "DNS Text Record" voor het ondertekeningsprofiel dat u zojuist hebt gemaakt en kopieer de DNS-record die is gegenereerd. Het zou aan het volgende gelijkaardig moeten kijken:
selector2._domainkey.example.com. IN TXT "v=DKIM1; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAwMaX6wMAk4iQoLNWiEkj0BrIRMDHXQ7743OQUOYZQqEXSs+jMGomOknAZJpjR8TwmYHVPbD+30QRw0qEiRY3hYcmKOCWZ/hTo+NQ8qj1CSc1LTMdV0HWAi2AGsVOT8BdFHkyxg40oyGWgktzc1q7zIgWM8usHfKVWFzYgnattNzyEqHsfI7lGilz5gdHBOvmF8LrDSfN" "KtGrTtvIxJM8pWeJm6pg6TM/cy0FypS2azkrl9riJcWWDvu38JXFL/eeYjGnB1zQeR5Pnbc3sVJd3cGaWx1bWjepyNQZ1PrS6Zwr7ZxSRa316Oxc36uCid5JAq0z+IcH4KkHqUueSGuGhwIDAQAB;"
- Breng de wijzigingen aan.
- Verzend de DKIM DNS TXT-record in stap 2 naar DNS.
- Wacht totdat de DKIM DNS TXT-record volledig is gepropageerd.
Verwijdert het oude ondertekeningsprofiel en verwijder de plaatsaanduiding van de gebruiker uit het nieuwe ondertekeningsprofiel
Nadat de DKIM TXT-record naar DNS is verzonden en u ervoor hebt gezorgd dat deze is gepropageerd, is de volgende stap het verwijderen van het oude ondertekeningsprofiel en het verwijderen van de plaatsaanduiding van de gebruiker uit het nieuwe ondertekeningsprofiel:
Opmerking: Het is sterk aanbevolen dat u een reservekopie maakt van het ESA-configuratiebestand voordat u verder gaat met de volgende stappen. Dit komt doordat als u het oude DKIM-ondertekenprofiel verwijdert en u terug moet keren naar de vorige configuratie, u het back-upconfiguratiebestand eenvoudig kunt laden.
- Ga naar Mail Policies > Ondertekeningsprofielen, selecteer het oude DKIM-ondertekeningsprofiel en klik op "Verwijderen".
- Ga naar het nieuwe DKIM-ondertekeningsprofiel, selecteer de huidige plaatsaanduiding en klik op "Verwijderen".
- Klik op Verzenden.
- Klik onder de kolom "Test Profile" op "Test" voor het nieuwe DKIM-ondertekeningsprofiel. Als de test succesvol is, gaat u verder naar de volgende stap. Zo niet, bevestig dat de DKIM DNS TXT-record volledig is gepropageerd.
- Breng de aangebrachte veranderingen aan.
Test de e-mailstroom om te bevestigen dat DKIM slaagt
Op dit punt bent u klaar met het verder configureren van DKIM. U dient echter DKIM-signalering te testen om te controleren of het uw uitgaande berichten ondertekent zoals verwacht en de DKIM-verificatie doorgeeft:
- Verzend een bericht via de ESA om ervoor te zorgen dat DKIM wordt ondertekend door de ESA en DKIM wordt geverifieerd door een andere gastheer.
- Zodra het bericht op het andere eind wordt ontvangen, controleer de kopballen van het bericht voor de kopbal "verificatie-Resultaten." Zoek naar het DKIM gedeelte van de header om te bevestigen of het is geslaagd voor DKIM verificatie of niet. De header moet er als volgt uitzien:
Authentication-Results: mx1.example.net; spf=SoftFail smtp.mailfrom=user1@example.net;
dkim=pass header.i=none; dmarc=fail (p=none dis=none) d=example.net
- Zoek naar de kop "DKIM-Signature" en bevestig dat de juiste selector en het domein worden gebruikt:
DKIM-Signature: a=rsa-sha256; d=example.net; s=selector2;
c=simple; q=dns/txt; i=@example.net;
t=1117574938; x=1118006938;
h=from:to:subject:date;
bh=MTIzNDU2Nzg5MDEyMzQ1Njc4OTAxMjM0NTY3ODkwMTI=;
b=dzdVyOfAKCdLXdJOc9G2q8LoXSlEniSbav+yuU4zGeeruD00lszZ
VoG4ZHRNiYzR
- Wacht ten minste een week voordat u de oude DKIM TXT-record verwijdert als u ervan overtuigd bent dat DKIM werkt zoals bedoeld. Dit zorgt ervoor dat alle berichten die door de oude DKIM-toets zijn ondertekend, zijn verwerkt.