Autor Zpráva
Prochy
Profil
Dobrý večer,

máte někdo zkušenosti s DKIM? Pokud tomu dobře rozumím, tak "Public key" nastavím v záznamu domény. A "Private key" bych měl hodit do hlavičky emailu, pochopil jsem to takto správně?

Takže např. zde sem si vygeneroval ty klíče:
http://dkimcore.org/tools/key/1423435799-dd17f55ef3df0d3d947999e8e333ac3a/

Takže následující(Public key) nastavím někde v nastavení domén:

1423435799.symslenadomena._domainkey.symslenadomena.cz. IN TXT (
"v=DKIM1;t=s;p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCqbej4AAAVQTa9vqo7bOfvTVs8"
"FGKNsOSFT1BmWaBCRRuu9oFz1AKTuV56k2e/r0oujLyzbIUl0PeZR5e3L7pHNC3A"
"auB444HKmbsDnLaIwyxaQxKdakZhQeX3AdZc2MGBvkNQFII3yYNvyK8JFJe2xNXW"
"XZIgt1udTtGrTQXHZQIDAQAB")

A toto nastavím(Private key) v hlavičce emailu parametr DKIM-Signature
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Nebo musím udělat ještě něco dalšího, či jsem to chybně pochopil?

Děkuji
Davex
Profil
Prochy:
A toto nastavím(Private key) v hlavičce emailu parametr DKIM-Signature
Ne, nepřidáš jí ty, ale tvůj poštovní server, který zprávu podepíše pomocí privátního klíče (přidá do zprávy hlavičku DKIM-Signature s podpisem). Tento podpis se pak může ověřovat na poštovním serveru příjemce pomocí veřejného klíče v DNS.

Mimochodem, privátní klíč musíš uchovat v tajnosti nebo by ho mohl použít kdokoliv a celé ověření by ztratilo smysl.
Keeehi
Profil
Prochy:
Ano, hlavně nikam ten provátní klíč prosím tebe neposíej. Nikdy a nikam. Privátní klíč by sis měl vygenerovat na servru kde se bude používat, měl by být veřejně nepřístupný s co nejmenšími právy. Nikdy by neměl opustit server. A pokud ho musí opustit, třeba pro potřeby zálohování, pak musí být velmi důkladně šifrovaný. Naproti tomu veřejný klíč je právě od toho, aby se všemožně vystavoval a roztruboval do světa.

A ještě poznámka k tomu, proč si generovat klíče přímo tam, kde se budou používat.
1) Když si klíč vygeneruješ na nějaké stránce, tak nikdy nemůžeš vědět, zda si ten klíč tajně neuložil i majitel té stránky (jako si to ukládá dkimcore.org). Pak samozřejmě by mohl podepisovat cokoli a přitom se vydávat za tebe.
2) To, že stránka dkimcore.org servíruje privátní klíče na http a ne https považuji za diletantství! Třeba v mém případě jde spojení přes 12 síťových uzlů na kterých může kdokoli odposlouchávat.
3) Co je ještě horší je, že dkimcore.org tvůj privátní klíč naservíruje na stříbrném podnosu každému kdo zná url adresu. Vůbec bych se nedivil, kdyby tato stránka byla trvale odposlouchávána a všechny privátní klíče byly tedy vlastně ihned o vystavení kompromitovány. Podepisovat emaily s kompromitovaným klíčem je horší než je nepodepsat vůbec.
Prochy
Profil
Davex:
Tak ještě otázka, takže ten privátní klíč mi tam přidá (podepíše) hosting (jelikož tam je ten emailový server)? Jelikož jsem koukal do administrace hostingu a tam jsem nikde nastavení DKIM nenašel, tak to budu muset asi řešit s podporou hostingu. Nebo to stále nerozumím děkuji?
Davex
Profil
Ano, DKIM podepisování se musí nastavit na mailserveru. Zkus se zeptat podpory hostingu, zda DKIM podporuje.

Vaše odpověď


Prosím používejte diakritiku a interpunkci.

Ochrana proti spamu. Napište prosím číslo dvě-sta čtyřicet-sedm: