我按照此处的指南配置了 OpenDKIM:
https://www.linuxbabe.com/mail-server/setting-up-dkim-and-spf
我没有生成密钥,而是使用了我们域上已配置的密钥,这些密钥是在 Gmail 管理门户中生成的。
一切看起来都很好,直到收到需要签名的邮件,此时我在日志中看到了以下内容:
Sep 27 15:00:05 kattos opendkim[6210]: 2283C43B35: SSL error:0D0680A8:asn1 encoding routines:ASN1_CHECK_TLEN:wrong tag; error:0D08303A:asn1 encoding routines:ASN1_TEMPLATE_NOEXP_D2I:nested asn1 error; error:0D0680A8:asn1 encoding routines:ASN1_CHECK_TLEN:wrong tag; error:0D07803A:asn1 encoding routines:ASN1_ITEM_EX_D2I:nested asn1 error; error:04093004:rsa routines:OLD_RSA_PRIV_DECODE:RSA lib; error:0D0680A8:asn1 encoding routines:ASN1_CHECK_TLEN:wrong tag; error:0D07803A:asn1 encoding routines:ASN1_ITEM_EX_D2I:nested asn1 error
使用以下命令在命令行上测试所有键,结果均正常opendkim-testkey:
root@kattos:~# opendkim-testkey -d myhostedfax.co.uk -s google -vvv
opendkim-testkey: using default configfile /etc/opendkim.conf
opendkim-testkey: checking key 'google._domainkey.myhostedfax.co.uk'
opendkim-testkey: key not secure
opendkim-testkey: key OK
不太确定下一步该怎么做,如果能得到任何指导就更好了。
答案1
您必须创建自己的密钥才能签署发送的电子邮件,opendkim 附带一个密钥生成器(opendkim-genkey)。
我对 google 的管理门户一无所知,但如果您控制 myhostedfax.co.uk 的 DNS,您应该能够将公钥放在您的 gmail 密钥旁边。请注意不要使用与 google 相同的选择器(即不要使用“google”),因为这会导致您的电子邮件被错误地标记为已更改。
至于密钥,建议不时更换(或轮换)密钥,我每三个月定期轮换一次密钥,因为它们通常很短 - 许多 Web 界面无法处理很长的密钥,因此经常使用 1024 位 RSA 密钥。虽然 DKIM 标准允许使用椭圆密钥 - ed25519(请参阅RFC 8463) 尽管它们在密钥长度较短且安全性相似或更好方面具有明显优势,但我还没有看到它们得到广泛的应用。