DKIM mit Let's Encrypt nutzen

Debian macht sich hervorragend als Web- und Mailserver. Schau auch in den " Tipps und Tricks"-Bereich.
Antworten
poncho
Beiträge: 106
Registriert: 23.12.2007 19:22:35

DKIM mit Let's Encrypt nutzen

Beitrag von poncho » 02.08.2019 11:43:19

Hallo zusammen,

ich nutze seit langem Let's Encrypt (LE) für alle verschlüsselten Verbindungen (HTTPS, FTPS, IMAPS, SMTPS). Nun würde ich aber gern auch für den Mailserver DKIM aktivieren. Soweit ich es verstanden hab, muss im DNS ein DKIM-Eintrag mit dem Public key gesetzt werden. Aber wie ist das praktikabel machbar, wenn das LE-Zertifikat alle 30 tage neu erstellt wird? Hat da jemand eine Idee?
Nach oben
Benutzeravatar
bluestar
Beiträge: 2346
Registriert: 26.10.2004 11:16:34
Wohnort: Rhein-Main-Gebiet

Re: DKIM mit Let's Encrypt nutzen

Beitrag von bluestar » 02.08.2019 11:55:21

poncho hat geschrieben: ↑ zum Beitrag ↑
02.08.2019 11:43:19
 ich nutze seit langem Let's Encrypt (LE) für alle verschlüsselten Verbindungen (HTTPS, FTPS, IMAPS, SMTPS).
Das ist doch schon mal gut, das sind x509 Zertifikate, die bei dir wohl alle 30 Tage neu erzeugt werden.
Nun würde ich aber gern auch für den Mailserver DKIM aktivieren. Soweit ich es verstanden hab, muss im DNS ein DKIM-Eintrag mit dem Public key gesetzt werden.
Das ist auch soweit korrekt, allerdings benutzt du hier keine Zertifikate sondern lediglich einen RSA-Schlüssel, den du komplett unabhängig von LetsEncrypt erzeugst:

Code: Alles auswählen

openssl genrsa -out private.key 1024
openssl rsa -in private.key -pubout -out public.key
Den Public Key trägst du in deinen DNS-Server ein und dein Mailsystem (Postfix? Exim?) musst du entsprechend einrichten, dass dort die ausgehenden Mails DKIM signiert werden.
Nach oben
hec_tech
Beiträge: 1093
Registriert: 28.06.2007 21:49:36
Wohnort: Wien
Kontaktdaten:

Re: DKIM mit Let's Encrypt nutzen

Beitrag von hec_tech » 02.08.2019 11:57:12

Ich würde das nicht über LE machen. Mir würde auch kein Weg einfallen wie das funktionieren sollte.

Noch dazu ist das kein klassisches Zertifikat wie man es für diverse Dienste verwendet. Falls LE das implementieren würde bräuchtest du einen DNS Provider mit dem du über API reden kannst. Normalerweise ändert man dann auch noch den Selektor das müsste dann erst weider in OpenDKIM oder rspamd oder was auch immer geändert werden.

Soviel Aufwand ist das auch wieder nicht einfach manuell machen. Du brauchst für DKIM auch keine CA signierten Zertifikate.
Nach oben
poncho
Beiträge: 106
Registriert: 23.12.2007 19:22:35

Re: DKIM mit Let's Encrypt nutzen

Beitrag von poncho » 02.08.2019 12:39:09

hec_tech hat geschrieben: ↑ zum Beitrag ↑
02.08.2019 11:57:12
Du brauchst für DKIM auch keine CA signierten Zertifikate.
Das ist doch aber ein interessanter Hinweis. Das heißt doch, ich kann einfach ein eigenes Zertifikat generieren mit langer Laufzeit und trage diesen Key dann ein. Damit sollte ich doch auf der sicheren Seite sein.
Ich ging davon aus, dass man dafür auch ein vertrautes Zertifikat braucht - eben eins von LE bspw.

Danke erst mal für den Hinweis. Ich werde das mal testen.
Nach oben
Benutzeravatar
bluestar
Beiträge: 2346
Registriert: 26.10.2004 11:16:34
Wohnort: Rhein-Main-Gebiet

Re: DKIM mit Let's Encrypt nutzen

Beitrag von bluestar » 02.08.2019 12:57:11

poncho hat geschrieben: ↑ zum Beitrag ↑
02.08.2019 12:39:09
 Das heißt doch, ich kann einfach ein eigenes Zertifikat generieren mit langer Laufzeit und trage diesen Key dann ein.
Du erzeugst gar kein Zertifikat nur einen RSA Key... Die Befehle hab ich dir ja schon geschrieben.
Nach oben
Antworten

Zurück zu „Web- und Mailserver“