Ab Version 13 erzeugt NoSpamProxy zwei DKIM-Schlüssel, einen im RSA-Format und einen EdDSA-Format (Edwards-Curve Digital Signature Algorithm). Die RFC hierzu finden Sie hier https://tools.ietf.org/html/rfc8463
Im Beispiel der “key2018r” ist im RSA-Format wie bisher auch. Der “key2018e” ist mit Version 13 neu und muss zusätzlich im DNS veröffentlicht werden.
Upgrade auf NoSpamProxy Version 13
Nach einem Upgrade auf Version 13 wird der EdDSA-Key automatisch zusätzlich zu den existierenden Schlüsseln erzeugt. Ebenfalls wird folgender Vorfall auf der Startseite der Konsole dargestellt
“Der DNS-Eintrag dkim.teste._domainkey.dkim.test ( Eigene Domäne ) fehlt. Bitte erstellen Sie den DNS-Eintrag um diesen Vorfall zu lösen. Wir werden den Eintrag in einigen Minuten erneut überprüfen.”
E-Mails gelten als gültig, solange eine der aufgetragenen DKIM-Schlüssel erfolgreich validiert werden konnte. Es stellt also kein Problem dar, wenn der neue DKIM-Schüssel im EdDSA-Format benutzt wird aber noch nicht veröffentlich ist. Dies sollte aber trotzdem zeitnah umgesetzt werden.
Bitte beachten: Wenn die Intranet Rolle einen eigenen internen DNS Server verwendet, der keine Abfragen nach extern durchführt, müssen alle DKIM Schlüssel auf diesem DNS Server ebenfalls veröffentlicht werden.
Erstellung eines neuen Schlüsselpaares
Ab Version 13 wird eine größere Verschlüsselungssicherheit (2048bit) für den RSA-Schlüssel verwendet, wodurch der Schlüssel größer als die im DNS erlaubten 255 Zeichen wird. Hierfür muss der erzeugte Schlüssel beim Einbinden in das DNS korrekt umgebrochen werden. Hierfür verwenden Sie das doppelte Anführungszeichen (“) und brechen entsprechend dort um, so dass im ersten Teil weniger als 255 Zeichen enthalten sind.
Erzeugter Schlüssel im NoSpamProxy (ohne Umbruch)
"v=DKIM1; k=rsa;
p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQ
EAzvf5N0hu8i4wM5quF3e5otVwN/IhKeoEEbkstlIgGY
XSZQ+Tc7tJmkn/QyD8rvTWhAdmrLPfsDt2GwCkKBlupw
P7mtyQYR8bzw2fPCiUMW+Y7FyfRJSAFhRwykkrG1JbCy
J5Phn8qRYH4Rq1lo8BavEr7+/MeEf/CR1gdXH6kQ+SEc
a0M/2OJjoHOLdmvsyb9qnBa5HB58DQr6FpneHXCfAY6m
OI6vykmkVfb/MAr9CZFKrWY+17dPHDhKJDEwsQymCGUu
GwzLwlPcjLVbMSQGXrtdWy8cJbeOa+iO2Gwp4yS2urmT
/k8aK4256GhSQbBH3HOCxRgNL3Yb4G1mo92QIDAQAB"
Zu verwendender Schlüssel im DNS (mit Umbruch)
"v=DKIM1; k=rsa;
p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQ
EAzvf5N0hu8i4wM5quF3e5otVwN/IhKeoEEbkstlIgGY
XSZQ+Tc7tJmkn/QyD8rvTWhAdmrLPfsDt2GwCkKBlupw
P7mtyQYR8bzw2fPCiUMW+Y7FyfRJSAFhRwykkrG1JbCy
J5Phn8qRYH4Rq1lo8BavEr7+/MeEf/CR1gdXH"
"6kQ+SEca0M/2OJjoHOLdmvsyb9qnBa5HB58DQr6Fpne
HXCfAY6mOI6vykmkVfb/MAr9CZFKrWY+17dPHDhKJDEw
sQymCGUuGwzLwlPcjLVbMSQGXrtdWy8cJbeOa+iO2Gwp
4yS2urmT/k8aK4256GhSQbBH3HOCxRgNL3Yb4G1mo92Q
IDAQAB"
Sicherung der DKIM-Schlüssel
Vor jedem Update des NoSpamProxy-Systems auf eine neue Version, oder bei normalen Sicherungen, sollte der aktuelle DKIM-Schlüssel exportiert und gesichert werden.
Den Schlüssel kann man unter “Menschen und Identitäten > DKIM-Schlüssel” exportieren und im Falle einer Wiederherstellung des Systems auch wieder importieren.
Hinweis
Manche DKIM Validierungstools geben bei DKIM Schlüssel im neuen EdDSA-Format noch einen Fehler aus, da diese nur RSA-Formate erwarten.
Funktionierende Tools sind z.B. MXToolBox https://mxtoolbox.com/dkim.aspx
