Вопросы Теги

opendkim-testkey: key not secure

Я настроил Opendkim milter для работы с postfix на моей машине. Теперь письмо подписано и проверено правильно, т.е. исходный код письма показывает заголовок DKIM-Signature.

TXT запись на авторитетном dns настроена следующим образом:

┌───┐
│ # │ root > server > ~
└─┬─┘
  └─> delv -t txt dkim-domain._domainkey.domain.eu
...
...
dkim-domain._domainkey.domain.eu. 1780 IN TXT   "v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA8drA4hH8gJaVpLaHhtQonhpOeanMo/oPmrAVehP3lBYAjsoxifCIclLqJo7kk0maelqu9SIN9ttQ0boCzEiQBMO1" "c1P+Sj/PxphZB71c8VNhqMJ32VG6Ky3ZD4Tds39Vye/wsWdi+842MUT3Z2dJnxS2AAG4pSkjaytFPCs0J94OUQC0tDErbnsMZh+gg+7IsYgND8FR/cRDzpXjD0qFJk4Cnc1q27WorPAGAiRsRfLt9u" "gkYgQRwapnofmKJ3hk/L8096YR7gan60L4+RGojsx5ppTdIEhYasyK9MokefmVeNyGwVXTJchqG8vhcg9uGjGy9mPiPg4B2TQgEBPwyQIDAQAB"
...
...

Итак, на первый взгляд все в порядке, но когда я запускаю диагностику на своей машине, она говорит следующее:

┌───┐
│ # │ root > server > ~
└─┬─┘
  └─> opendkim-testkey -d domain.eu -s dkim-domain -vvv

opendkim-testkey: using default configfile /etc/opendkim.conf
opendkim-testkey: checking key 'dkim-pistam._domainkey.pistam.eu'
opendkim-testkey: key not secure
opendkim-testkey: key OK

Обратите внимание на ответ key not secure. Я прочитал в этом ответе, что предупреждение существует, потому что DNSSEC не включен. Но DNSSEC для моего домена domain.eu включен. согласно DNSViz.

ADD:

Возможно, тема, на которую я ссылался ранее, вводит в заблуждение, потому что позже я прочитал ответ здесь, предполагающий, что предупреждение вызвано слишком широкими привилегиями в отношении пары ключей! Я установил права пользователя на пару ключей и их папку следующим образом:

┌───┐
│ # │ root > server > ~
└─┬─┘
  └─> ls -l /etc/opendkim/keys/
total 8
-rw------- 1 opendkim opendkim 1675 Dec 30 08:45 dkim-rsa-private.key
-rw------- 1 opendkim opendkim  451 Dec 30 08:46 dkim-rsa-public.key

┌───┐
│ # │ root > server > ~
└─┬─┘
  └─> ls -ld /etc/opendkim/keys/
drwx------ 2 opendkim opendkim 4096 Jan  1 07:18 /etc/opendkim/keys/

Так что это должно быть безопасно... Но это не так.

3
задан 4 January 2021 в 23:08
1 ответ

Как также объясняется в моем другом ответе, key not secure в этом контексте означает, что OpenDKIM не смог аутентифицировать ключ с помощью DNSSEC.

Вы должны убедиться, что OpenDKIM может использовать DNSSEC. Например, в Debian и Ubuntu файл /etc/opendkim.conf по умолчанию содержит следующий параметр, который включает возможности DNSSEC:

TrustAnchorFile /usr/share/dns/root.key
3
ответ дан 23 April 2021 в 23:53

Теги

Похожие вопросы