长期以来,我使用 Let's Encrypt 来提供所有加密服务(HTTPS、IMAPS、SMTPS、FTPS)。现在我想为我的邮件服务器添加 DKIM 签名。但是使用 Let's Encrypt 可以做到这一点吗?我必须在 DKIM DNS 条目中添加公钥。但是 Let's Encrypt 证书每 30 天会重新创建一次。
如何将我的 Let's Encrypt 证书用于 DKIM?
(我知道如何在邮件服务器中设置 DKIM。我的问题重点是 DKIM 的 DNS 条目)
答案1
这个问题的答案是:你不应该这么做。
根据请求函数:
签名应用程序需要一定程度的保证,以确保验证公钥与声称的签名者相关联。许多应用程序通过使用受信任的第三方颁发的公钥证书来实现这一点。 但是,DKIM 只需让验证者查询所谓的签名者的 DNS 条目(或某些安全等效项)以检索公钥,即可实现足够的安全级别,并显著增强可扩展性。
您可以使用 DKIM 签署自己的密钥,因为它由 DNS 验证。您可以通过实施 DMARC 和 DNSSEC 来确保正确检查 DKIM。