1 votes

gariac avatar

La sortie de la clé générique opendkim pour 2048 bits se fait en trois segments

Demandé el 26 de Juin, 2017
Quand la question a-t-elle été
1964 affichage
Nombre de visites la question a
1 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Je suis en train de mettre en place un nouveau serveur de messagerie et j'ai décidé d'augmenter mon DKIM à 2048 bits, ce qui, par études, est maintenant la valeur commune. Exécution de opendkim-genkey le résultat semble différent de celui de l'ancienne version 1024 bits.

mydomain.com._domainkey       IN      TXT     ( "v=DKIM1; k=rsa; "
          "p=MIICIjANBgkqhkiG9w0BAQEFAAOCAg8AMIICCgKCAgEAwvUrzLbX7ZoAmAwNN7D2vGl+u4WRaiG
OPjTXvOtTWiVcMhJ0ed8oG4Xmwc7tTtVVLK85cHYXenYjICTBfvj6RuHikgKo5z1LNhebb8Sgf1oR69wQId7+jo+
Ooh9jCNHu20F9pndcuVdeoHMQ19kCgm7O9KK/TbxRrf2LAQNHtr/8w2mzVqEQi6fqsW6OIF13v6c1eZ7hMKMOYl"
          "gnC0C0Cumf/+vzpPggz1JDIQG9kbXJih4+ua4IM5BAZKC8W3uUWNQN2E30l2B3GNInraXeh4rDJ8n
RSuEliVy5+y/dGeUwdwKEAPy3wXH11ZPXA30HKOesXPQxpNAWGckg8I57AUXAUX86gtLW+5EdAlD/eulgAwRP/iN
B4I9bPtyoLUL8+SLR6bpaJZIBVyXs5JddSFfUHxl/d7Q5vJdDUqe5voU9If+wavW4MdySsKVk680fmQYaX529"
          "LT15lYR5FRz9Rg5JHqefrK1Wnpxp8ZxR3vgISrytlSDyAuGFPWfILjS8G5QGTh2BHuib9OHsiIa7s
31FO+ROk9ZhO3+2xTA81bFb8s3bGLb/NP3NOzfTKvVN9MwnmBfy40QkXefDw2So3xnrmlJNoURja5lUAMm08pEaq
GniwWIyfDuEoPwr+aadk4rrQNUejiQ3KDUtIdqV9Tos3Z6iBpzLp66mpkYxJ9ECAwEAAQ==" )  ; 
----- DKIM key mydomain.com for mydomain.com

Vous pouvez voir que le "p=" est suivi de trois chaînes de caractères. Lorsque cela a été fait pour 1024, il n'y avait qu'une seule chaîne. Est-ce correct pour télécharger vers DNS, ou dois-je fusionner les chaînes de caractères ?

Demandé el 26 de Juin, 2017 par gariac

Réponse

Trop de publicités?

2voto

Corey avatar
Corey Points 1

La sortie est bonne si vous prévoyez de l'utiliser directement dans Bind ou dans un autre système ayant un format compatible pour les fichiers de configuration de zone.

Les parenthèses permettent à Bind d'interpréter toutes les lignes comme un seul enregistrement et de concaténer les chaînes de caractères. Cela donne ce résultat parce que la clé de 2048 bits est assez longue et que l'option opendkim-genkey L'auteur doit penser que c'est plus agréable de le répartir sur plusieurs lignes plutôt que d'avoir une très longue ligne. (Beaucoup de développeurs de logiciels ont des règles de longueur maximale de ligne pour le code source - il ne s'agit pas de "code source", bien sûr, mais certaines personnes développent un dégoût invétéré pour les longues lignes).

Si vous utilisez un service DNS en ligne, il se peut que vous deviez tout saisir sur une seule ligne. Dans ce cas, il suffit de fusionner le tout (en supprimant les guillemets et les parenthèses).

Autre note de préférence totalement personnelle : je ne suis pas fan du sélecteur "mondomaine.com". Vous vous retrouverez avec une entrée DNS pour mydomain.com._domainkey.mydomain.com . Le plus commun que je vois est 201706._domainkey.mydomain.com qui indique l'année et le mois où la clé a été générée et vous permet de remplacer la clé à l'avenir par une nouvelle, tout en conservant l'ancien enregistrement pendant le changement. (par exemple, dans 6 mois, créez un fichier 201712 et commencez à l'utiliser, puis lorsque vous êtes sûr qu'aucun courriel signé par l'ancienne clé ne flotte dans les files d'attente quelque part, supprimez les entrées dns 201706).

Répondu el 26 de Juin, 2017 par Corey (1 Points )

0 votes

Avatar de gariac

Je dois utiliser un système de jetons pour télécharger vers le DNS du VPS. Il n'autorise pas un texte de plus de 512 caractères. J'aime votre idée sur le sélecteur. Pour être honnête, la lecture des guides en ligne sur DKIM vous laisse avec un WTF est l'intention de ce champ. Le faire fonctionner est une chose, mais le rendre utile en est une autre. Il s'agit d'un nouveau serveur (remplacement d'un existant) dont j'essaie de faire une version améliorée puisque l'ancien était la première fois que j'en configurais un. Remplacer les clés régulièrement est sur ma liste. J'ai mis en place une clé letsencrypt au lieu de la clé à vie de 10 ans que j'utilise actuellement pour TLS.

Commenté el 27 de Juin, 2017 par gariac

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X