|
DKIM-Signatur |
Scrollen Zurück Oberste Ebene Weiter Mehr |
Die Optionen auf der Seite DKIM-Signatur bestimmen, ob die abgehenden Nachrichten aus Ihren Domänen kryptografisch signiert werden sollen. Die kryptografische Signatur wird nach der Methode DomainKeys Identified Mail (DKIM) erstellt. Sie können von hier aus auch die Selektoren und die Schlüssel erstellen, die für die Signatur abgehender Nachrichten nötig sind, und Sie bestimmen, welcher Selektor eingesetzt wird. Alle Schlüssel sind einmalig; unabhängig von dem angegebenen Selektor können die Schlüssel zweier Domänen nie übereinstimmen.
Weitere Informationen über DKIM erhalten Sie unter www.dkim.org.
DKIM-Signatur
Abgehende Nachrichten über DomainKeys Identified Mail (DKIM) signieren
Diese Option bewirkt, dass die abgehenden Nachrichten der Domäne über DomainKeys Identified Mail kryptografisch signiert werden. Eine Nachricht kann dabei nur signiert werden, falls Sie durch eine echtheitsbestätigte SMTP-Verbindung (SMTP AUTH) oder über einen Mailserver der Domäne an SecurityGateway übermittelt wird. Hierdurch wird sichergestellt, dass nur echtheitsbestätigte Nachrichten signiert werden.
ARC-Signatur
Authenticated Received Chain ("ARC", echtheitsbestätigte Empfangskette) ist ein Protokoll zur Echtheitsbestätigung von Nachrichten. Es gestattet SecurityGateway die digitale Signatur der Ergebnisse der Echtheitsbestätigung für Nachrichten, die SecurityGateway zwischen verschiedenen Servern übermittelt. Hierdurch entsteht für diese Nachrichten eine echtheitsbestätigte Überwachungskette, in der jeder Server bei Verarbeitung der Nachricht erkennt, welche Server die Nachrichten zuvor verarbeitet haben, und ob sie bei jedem Verarbeitungsschritt echtheitsbestätigt wurden. Dies ist insbesondere dann hilfreich, wenn SecurityGateway Nachrichten weiterleitet oder an solchen Kopfzeilen der Nachrichten Veränderungen vornehmen muss, die durch die DKIM-Signatur der Nachrichten umfasst sind. Nutzt der empfangende Server die ARC-Prüfung, und ist Ihre SecurityGateway-Domäne auf ihm als Vertrauter ARC-Siegler konfiguriert, so kann der Server Ihre ARC-Signatur prüfen und die Nachricht danach als echt annehmen.
Nachrichten über ARC signieren, falls sie die Kriterien erfüllen
Diese Option aktiviert die Signatur abgehender Nachrichten über ARC. Nachrichten aus lokalen Domänen benötigen keine ARC-Signatur, da sie über DKIM signiert werden können. Aus diesem Grund erfüllen alle abgehenden Nachrichten, die nicht aus einer lokalen Domäne stammen, die Kriterien für die ARC-Signatur. Die ARC-Signatur ist erforderlich, wenn SecurityGateway Nachrichten oder Kopfzeilen von Nachrichten verändert, die durch die DKIM-Signatur umfasst sind. Solche Veränderungen können beispielsweise die Auswertung der Absenderkopfzeile From oder das Hinzufügen eines Disclaimers sein. Beachte: Wenn die ARC-Signatur aktiv ist, dann werden alle abgehenden Nachrichten signiert, die nicht aus einer lokalen Domäne stammen. Es werden nicht nur die Nachrichten signiert, die verändert wurden. Die ARC-Signatur ist per Voreinstellung abgeschaltet.
Nähere Informationen über das ARC-Protokoll finden Sie in englischer Sprache im Dokument RFC 8617: The Authenticated Received Chain (ARC) Protocol.
Selektoren
Nachrichten mithilfe dieses Selektors signieren:
Wählen Sie aus der Auswahlliste den Selektor aus, dessen zugehöriges Schlüsselpaar aus öffentlichen und geheimen Schlüsseln Sie für die Signatur der Nachrichten der Domäne nutzen wollen. Um einen neuen Selektor zu erstellen, klicken Sie auf Neu, tragen Sie dann den Namen des Selektors in das Eingabefeld ein, und klicken Sie schließlich auf Speichern und Beenden.
Neu
Klicken Sie auf dieses Steuerelement, um einen neuen Selektor zu erstellen, mit dessen Hilfe Sie die Nachrichten der Domäne signieren können. Tragen Sie den Namen des Selektors in das Eingabefeld ein, und klicken Sie schließlich auf Speichern und Beenden.
Import
Durch Anklicken dieser Schaltfläche können Sie ein RSA-Schlüsselpaar aus öffentlichem und geheimem Schlüssel importieren und hieraus einen neuen Selektor erstellen. Die Datei, die Sie hier importieren, muss eine ZIP-Datei sein, und sie muss die Textdateien rsa.private und rsa.public im Format PEM enthalten. Sie müssen einen Namen für den Selektor eintragen und die Domäne bestimmen, der der Selektor zugeordnet wird. Sie können den Selektor auch als globalen Selektor nutzen.
Export
Durch Anklicken dieser Schaltfläche können Sie das RSA-Schlüsselpaar eines Selektors mit öffentlichem und geheimem Schlüssel in eine ZIP-Datei packen und herunterladen.
Löschen
Um einen Selektor zu löschen, wählen Sie ihn aus der Auswahlliste, und klicken Sie dann auf Löschen.
Hinweise zur DNS-Konfiguration (öffentlicher Schlüssel) für diesen Selektor anzeigen
Um die DNS-Konfiguration für einen Selektor einzusehen, wählen Sie den Selektor aus dem Auswahlmenü oben aus, und klicken Sie dann auf diese Schaltfläche. SecurityGateway zeigt Ihnen die DKIM-Informationen an, die den DNS-Einträgen der Domäne hinzugefügt werden müssen. Dritte können die Signaturen in Ihren Nachrichten erst dann prüfen, wenn diese Informationen im DNS veröffentlicht sind. Die Hinweise für die DNS-Konfiguration enthalten folgende Daten:
DNS-Eintrag für den DKIM-Selektor
Andere Server benötigen diese Informationen, um die über DKIM signierten Nachrichten der Domäne zu prüfen. Die Informationen enthalten den Selektor, die Domäne, den öffentlichen Schlüssel und weitere erforderliche Daten.
|
Falls Sie die abgehenden Nachrichten aus einer Domäne signieren wollen, müssen Sie die vorstehenden Informationen den DNS-Einträgen der Domäne hinzufügen. Ohne diese im DNS veröffentlichten Informationen können Mailserver, die Ihre Nachrichten empfangen, die Signaturen nicht prüfen. Nähere Informationen, auch zu weiteren Parametern, die Sie in den DNS-Einträgen veröffentlichen können, erhalten Sie unter www.dkim.org und auf der Seite DomainKeys Distribution Options (Optionen zur Veröffentlichung von DomainKeys) unter domainkeys.sourceforge.net. |
Nutzung gemeinsamer oder globaler Selektoren
Sie können denselben Selektor für mehrere Ihrer SecurityGateway-Domänen nutzen, falls dies gewünscht ist. Hierzu stehen Ihnen zwei Vorgehensweisen zur Verfügung:
Veröffentlichung eines eigenen DNS-Eintrags für den DKIM-Selektor für jede betroffene Domäne und bei Nutzung desselben öffentlichen Schlüssels
1.Wählen Sie im Feld "Für Domäne:" den Eintrag "-- Global --".
2.Wählen Sie einen bestehenden Selektor, oder erstellen Sie einen neuen Selektor. Klicken Sie danach auf Hinweise zur DNS-Konfiguration (öffentlicher Schlüssel) für diesen Selektor anzeigen.
3.Kopieren Sie den Text im Abschnitt DNS-Eintrag für den DKIM-Selektor in die Zwischenablage.
4.Erstellen Sie den DNS-Eintrag für den DKIM-Selektor für eine Domäne, für die dieser Selektor gelten soll. Ersetzen Sie dabei den Text %DOMAIN% durch den Domänennamen. Ein Beispiel hierzu: "selector01._domainkey.%DOMAIN%." wird geändert in "selector01._domainkey.example.com.".
5.Wiederholen Sie den vorstehenden Schritt für jede Domäne, für die dieser Selektor gelten soll.
6.Stellen Sie sicher, dass Ihre Optionen zur DKIM-Signatur für alle betroffenen Domänen richtig konfiguriert sind, sodass diese Domänen den gemeinsamen Selektor für die DKIM-Signatur nutzen.
Veröffentlichung des DNS-Eintrags für den DKIM-Selektor für eine Domäne und Verweis für die anderen Domänen auf diese Domäne mithilfe von CNAME
1.Wählen Sie einen Selektor, und erstellen Sie mithilfe des Texts im Abschnitt Hinweise zur DNS-Konfiguration (öffentlicher Schlüssel) für diesen Selektor anzeigen einen DNS-Eintrag für DKIM für eine Ihrer Domänen. Ein Beispiel hierzu:
selector01._domainkey.example.com IN TXT "v=DKIM1; p=MIGfMA0GCSq..."
2.Erstellen Sie für jede Domäne, für die dieser Selektor ebenfalls gelten soll, einen DNS-Eintrag des Typs CNAME für die Subdomäne "selector01._domainkey", und lassen Sie diesen Eintrag auf die ursprüngliche Domäne verweisen. Ein Beispiel hierzu:
example01.com - selector01._domainkey.example01.com IN CNAME selector01._domainkey.example.com
example02.com - selector01._domainkey.example02.com IN CNAME selector01._domainkey.example.com
3.Stellen Sie sicher, dass Ihre Optionen zur DKIM-Signatur für alle betroffenen Domänen richtig konfiguriert sind, sodass diese Domänen den gemeinsamen Selektor für die DKIM-Signatur nutzen.
Optionen zur DKIM-Signatur (Alle Domänen)
Signaturen verfallen nach [xx] Tagen (Tag x=, Voreinstellung 7 Tage)
Diese Option begrenzt die Gültigkeitsdauer der DKIM-Signaturen. Nachrichten mit abgelaufenen Signaturen bestehen die Prüfung nicht mehr. Diese Option entspricht dem Tag "x=" der Signaturen. Diese Option ist per Voreinstellung aktiv, und die voreingestellte Gültigkeitsdauer beträgt 7 Tage.
Signaturen enthalten die Abfragemethode(n) (Tag q=)
Diese Option bindet den Tag für die Abfragemethode (z.B. q=dns) in die DKIM-Signatur ein. Diese Option ist per Voreinstellung aktiv.
Signaturen enthalten die Länge des Nachrichtentextes (Tag l=)
Diese Option bestimmt, ob die Länge des Nachrichtentextes (Tag "l=") in die DKIM-Signaturen eingebunden werden soll. Diese Option ist per Voreinstellung aktiv.
Signaturen enthalten den Inhalt der Ursprungs-Kopfzeile (Tag z=)
Diese Option bindet den Tag "z=" in die DKIM-Signatur ein. Der Tag enthält eine Kopie der ursprünglichen Kopfzeilen der Nachricht; er kann die Größe der Signaturen daher erheblich erhöhen. Diese Option ist per Voreinstellung abgeschaltet.
Kanonisierung
Der Begriff "Kanonisierung" bezeichnet einen Vorgang, in dessen Verlauf die Kopfzeilen und der Nachrichtentext einer Nachricht in einen kanonischen Standard umgesetzt werden, bevor die DKIM-Signatur erstellt wird. Der Vorgang wird bisweilen auch als Normalisierung bezeichnet. Er ist erforderlich, da manche E-Mail-Server und Relaissysteme verschiedene an sich unbedeutende Änderungen an der Nachricht vornehmen, während sie sie verarbeiten. Ohne die Kanonisierung vor der Signaturerstellung könnten auch solche unbedeutenden Änderungen die Signatur ungültig machen. Die Signatur und die Prüfung der Signatur nach dem DKIM-Standard unterstützen derzeit zwei Methoden der Kanonisierung: einfach und tolerant. Die einfache Methode ist strikter, und sie erlaubt nahezu keine Änderungen an der Nachricht. Die tolerante Methode ist hingegen weniger strikt und lässt unbedeutende Änderungen an der Nachricht zu.
Kopfzeilen kanonisieren nach Methode: Einfach, Tolerant
Diese Methode wird bei Erstellung der Signatur auf die Kopfzeilen der Nachricht angewendet. Die einfache Methode lässt keinerlei Änderungen an den Kopfzeilen zu. Die tolerante Methode lasst die Änderung von Namen der Kopfzeile in Kleinschreibung, die Zusammenfassung mehrerer aufeinander folgender Leerzeichen zu einem einzigen Leerzeichen und weitere unbedeutende Änderungen zu. Sie lässt jedoch keine Änderung an den Inhalten der Kopfzeilen zu. Die Voreinstellung ist "Einfach".
Nachrichtentext kanonisieren nach Methode: Einfach, Tolerant
Diese Methode wird bei der Erstellung der Signatur auf den Inhalt der Nachricht angewendet. Die einfache Methode ignoriert Leerzeilen am Ende des Nachrichtentextes — sonstige Änderungen am Nachrichtentext sind nicht zulässig. Die tolerante Methode ignoriert Leerzeilen am Ende der Nachricht und Leerzeichen am Zeilenende, sie führt mehrere aufeinander folgende Leerzeichen in allen Zeilen zu je einem Leerzeichen zusammen, und sie lässt weitere unbedeutende Änderungen zu. Die Voreinstellung ist "Einfach".
