Inleiding
In dit document wordt de uitgebreide DKIM-mogelijkheid beschreven voor het verifiëren van grotere sleutels voor ondertekende e-mails.
Voorwaarden
Algemene kennis van de SEG-instellingen en -configuratie is gewenst.
Gebruikte componenten
- Cisco Secure Email Gateway (SEG) AsyncOS 15.5.1 en nieuwer
- DKIM-verificatieprofielen
- Mail Flow-beleid
"De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, zorg er dan voor dat u de mogelijke impact van elke opdracht begrijpt."
Overzicht
De SEG kan inkomende verificatie van DKIM ondertekende e-mail uitvoeren.
Historisch was de SEG-verificatiesleutelbereik 512-2048 vóór 15,5 AsyncOS.
AsyncOS 15.5 ondersteunt het toetsbereik van 1024-4096 bits
512 en 768 bit-toetsen15.5 zijn nu afgekeurd, hoewel profielen met 512-768 vóór de upgrade nog in gebruik zijn.
Configureren
De SEG setup is zeer minimaal om de nieuwe sleutelformaten aan te passen.
Navigeer binnen WebUI aan:
- Mail-beleid
- Domain Keys
- DKIM-verificatieprofielen
DKIM-verificatieprofiel
Overzichtspagina met DKIM-verificatieprofielen
Pas de nieuwe DKIM-verificatieprofielen toe op het gewenste inkomende Mail Flow-beleid:
- Mail-beleid
- Mail Flow-beleid
- Kies het gewenste Mail Flow Policy om het nieuwe DKIM Verificatieprofiel toe te passen op basis van uw organisatorische voorkeuren.
- Blader naar beneden naar het gedeelte Beveiligingskenmerken en zoek "DKIM-verificatie:"
- Selecteer het gewenste profiel van uw keuze.
Opmerking: Vóór AsyncOS 15.5 was DKIM-verificatie beperkt tot 2048 bit en zou een grotere sleutelgrootte doorstaan als niet ondertekend.
Verifiëren
De SEG registreert geen details over de sleutelgrootte binnen de Mail Logs of Berichtentracering.
Vóór AsyncOS 15.5 zou een groot DKIM-teken van 1024-4096 als niet-ondertekend overgaan.
Sommige kleine indicatoren van de grote sleutelgrootte van de DKIM vereisen controles na de verwerking.
- Kop ophalen en bekijken van de b= waarde. Deze waarde is groter bij het grotere sleutelformaat, hoewel het geen directe te berekenen waarde is.
- DKIM DNS-record toont de openbare sleutel van het paar dat toeneemt van (geschat) 180 bytes voor 512-bits tot 800 bytes voor 4096-bits.
- Een openbare zoektocht naar "DKIM key size check" zou meerdere websites kunnen produceren met zoekfuncties om DKIM-records op te halen. Met behulp van de Selector en het domein vragen deze sites het DNS-record en genereren de sleutelbitgrootte, en DNS-query resultaten in de uitvoer.
Gerelateerde informatie