使用“DKIM 签名”页面上的选项可以控制是否使用 DomainKeys Identified Mail(DKIM)对域的出站邮件进行加密签名。您也可使用该页面来创建用于签名域邮件的选择器和密钥,并且指定将使用哪个选择器。每一个的密钥都是唯一的——两个域不可能存在相同的密钥,无论选择器指定与否。
有关于 DKIM 的更多信息,请参阅: www.dkim.org。
DKIM 签名
使用域名密钥标识邮件 (DKIM) 来签名出站邮件
如果您希望使用域名密钥标识邮件来加密性签名域的出站邮件,请点击此选项。要签名一封邮件,必须由 SecurityGateway 通过 SMTP AUTH 在已验证的会话上接收,或从域邮件服务器进行接收。这是为了在签名之前确保邮件是真实的。
ARC 签名
ARC 是一种电子邮件身份验证协议,当 SecurityGateway 作为邮件的中间服务器时,它允许对入站邮件的身份验证结果进行数字签名,以便当邮件继续到达最终目的地时,它仍然可以通过接收方的服务器进行验证。例如,当 SecurityGateway 重定向邮件或处理需要修改邮件 DKIM 签名中包含报头的邮件列表邮件时,这很有用。当收件服务器使用 ARC 验证,并将您的 SecurityGateway 域指定为可信 ARC 封签者,它便能验证您的 ARC 签名并将邮件作为真实邮件接收。
使用 ARC 签名合法邮件
如果您希望使用 ARC 来签名合法邮件,请选中此框。来自本地域的邮件无需 ARC 签名,因为它们可以进行 DKIM 签名。因此,所有不是来自本地域的出站邮件都有资格进行 ARC 签名。当 SecurityGateway 修改邮件或 DKIM 签名中包含的任何邮件报头时,ARC 签名是必要的。这些修改可能包含以下操作,例如发件人报头屏蔽、添加免责声明或更小的变更。请注意,启用 ARC 签名后,将对并非源自本地域的所有出站邮件进行签名,而不仅仅是那些已修改的邮件。默认情况下禁用 ARC 签名。
有关 ARC 协议的更多信息,请参阅: RFC 8617: The Authenticated Received Chain (ARC) 协议.
选择器
使用此选择器来签名邮件:
从下拉列表中选择选择器,当签名域邮件时,该选择器的相应公钥/私钥对是您想要使用的。如果您希望创建一个新选择器,点击“新建”按钮,在给出的空间内键入想要的“选择器名称”,然后点击“保存并关闭”。
新建
点击此按钮来创建用于签名域邮件的新选择器。在给出的空间内输入选择器的名称然后点击保存并关闭。
导入
如果您希望导入 RSA 公钥/私钥对,并创建一个新的选择器,请点击导入。它必须是 .zip 文件,并以 PEM 格式包含 rsa.private 和 rsa.public 文本文件。您必须为选择器及其关联域选择名称(或将其设置为全局选择器)。
导出
选择一个选择器并点击导出来以 .zip 文件下载该选择的 RSA 公共/私人密钥对。
删除
要删除一个选择器,请从下拉清单框中选中然后点击“删除”。
查看该选择器的 DNS 配置(公钥)
从下方下拉清单框中选中一个选择器,然后点击此按钮来查看该选择器的 DNS 配置。这是必须置于域 DNS 记录中的 DKIM 信息。DNS 记录中若没有该信息,就无法验证您邮件的签名。DNS 配置页面上列出了以下信息:
DNS 的 DKIM 选择器记录
其他服务器上会用到该信息,用于验证域的 DKIM 已签名邮件。其中包含选择器、域、公钥以及其他必要的信息。
如果您希望签名域的出站邮件,就需要将该信息置于域的 DNS 记录中。倘若没有,收件服务器将无法验证此签名。要了解更多信息以及可能包含于 DNS 记录中的其他参数,请访问 www.dkim.org 以及 domainkeys.sourceforge.net 上的域名密钥分发选项页面。 |
当您希望为多个 SecurityGateway 域使用同一选择器时,有两种方法可以执行此操作:
为每个域将单独的 DKIM 选择器记录发布到 DNS,但使用相同的公钥
1.在 "针对域:" 选项,选择“-- 全局 --”。
2.选择一个选择器或创建一个新的选择器,然后点击查看此选择器的 DNS 配置(公钥)。
3.复制 DNS 的 DKIM 选择器记录 下的文本。
4.在 DNS 中,为将共享选择器的域之一创建 DKIM 选择器时粘贴该文本,但使用该域名替换 %DOMAIN%。例如,替换 “selector01._domainkey.%DOMAIN%.”的是“selector01._domainkey.example.com.”。
5.对将共享选择器的每个域重复这些步骤。
6.请确保为所有相关域正确配置了 DKIM 签名选项,以便使用共享选择器进行签名。
将 DKIM 选择器记录发布到一个域的 DNS,然后使用 CNAME 将其他域指向该域
1.选择一个选择器,并使用“查看此选择器的 DNS 配置(公钥)”下的文本来发布 DNS 中的 DKIM 记录,用于您的一个域。 例如:
selector01._domainkey.example.com IN TXT "v=DKIM1; p=MIGfMA0GCSq..."
2.对于将共享选项器的每个域,请为“selector01._domainkey”子域设置一个 CNAME 记录来指向原始域。例如:
example01.com - selector01._domainkey.example01.com IN CNAME selector01._domainkey.example.com
example02.com - selector01._domainkey.example02.com IN CNAME selector01._domainkey.example.com
3.请确保为所有相关域正确配置了 DKIM 签名选项,以便使用共享选择器进行签名。
DKIM 签名选项(所有域)
签名在 [xx] 天后到期(“t=”标签,默认为七天)
使用此选项来限制 DKIM 签名的有效天数。如果邮件的签名已到期,那么该邮件将总无法通过验证。该选项对应的是签名的“x=”标签。根据默认已经启用且设置为七天。
签名包括查询方式(包括“q=”标签)
该选项用于在 DKIM 签名中包含查询方式标签(例如:q=dns)。根据默认已包含其中。
签名包括正文长度计数(包括“l=”标签)
该选项控制了在 DKIM 签名中是否要包括正文长度计数(“l=”标签)。默认情况下启用此项。
签名包括原始报头内容(包括“z=”标签)
如果您希望在 DKIM 签名中包含“z=”标签,请点击此选项。该标签将包含邮件原始报头的副本,从而可以使签名变得非常大。默认情况下,禁用该选项。
规范化
规范化是一个将邮件的报头和正文转化为规范化的标准,并在创建 DKIM 签名之前将其“常规化”的过程。这样做是必要的,因为在常规处理的过程中,一切邮件服务器和中继系统会对邮件做出各种无关紧要的改变,如若在准备签名每封邮件时不使用规范化的标准,那么可能会造成签名被破坏。目前有两种用于 DKIM 签名和验证的规范化方法: 简单和轻松。简单是最严谨的方法,不允许对邮件做出改变,或只允许细微改变。轻松则要求相对较送,允许一些无关紧要的改变。
规范化报头使用: 简单,轻松
这是在签名邮件时用于邮件报头的规范化方法。简单表示在任何情况下都不允许对报头字段进行更改。轻松则允许将报头名称转换为小写(不是改变报头的值),将一个或多个连续空格转换为一个空格,以及其他一些无害改变。默认设置为“简单”。
规范化正文使用: 简单,轻松
这是在签名邮件时用于邮件正文的规范化方法。简单可忽略邮件正文末尾的空行——不再允许其他任何对于邮件正文的更改。轻松则允许邮件末尾的空白行,忽略行末尾的空格,将一行中的所有连续空格减少为一个空格字符,以及其他一些小的更改。默认设置为“简单”。