[Postfixbuch-users] DKIM-Keys verlängern (amavisd)
Peer Heinlein
p.heinlein at heinlein-support.de
Fr Dez 14 22:32:37 CET 2012
Am 11.12.2012 14:40, schrieb Wiethoff, Helge:
Hallo Helge,
> 2. amavisd-Konfiguration anpassen
> dkim_key('stud.tfh-bochum.de', 'v1', '/etc/ssl/dkim/d-mx01.tfh-bochum.de.pem');
> usw usw., die bisherigen Keys lasse ich einfach drin stehen und füge noch die neuen Schlüssel hinzu:
> dkim_key('stud.tfh-bochum.de', 'v2', '/etc/ssl/dkim/key.pem');
Nein, die alten Schlüssel rauswerfen.
WICHTIG: Für die neuen Schlüssel einen neuen Identifier nehmen (hier:
v1/v2 -- hast du also).
> 3. Schlüssel in DNS eintragen
> amavisd showkeys
> und den neuen öffentlichen schlüssel im DNS verbreiten.
Ja und WICHTIG: Den alten Schlüssel unter dem alten Identifier im DNS
LASSEN!
> Wird dann mit beiden Schlüsseln signiert? Oder muss ich das doch sequentiell angehen? Was passiert in der Übergangszeit wenn sich das im DNS noch nicht rumgesprochen hat?
Wer eine Mail mit dem alten Schlüssel bekommen hat, wird anhand des
Identifiers (der in der Mail ist) den alten Schlüssel im DNS ziehen:
Darum muß der online bleiben.
Wer eine Mail mit dem neuen Schlüssel bekommen hat, wird über den
Identifier einen neuen Schlüssel ziehen.
Dein Problem ist also nicht das DNS-TTL, sondern die Queue-Lifetime der
Mails, die noch irgendwo mit dem alten Key signiert rumschwirren.
Also: Key 5 Tage, besser 7-10 Tage behalten und danach kannst Du ihn im
DNS löschen.
Peer
--
Heinlein Support GmbH
Schwedter Str. 8/9b, 10119 Berlin
http://www.heinlein-support.de
Tel: 030 / 405051-42
Fax: 030 / 405051-19
Zwangsangaben lt. §35a GmbHG:
HRB 93818 B / Amtsgericht Berlin-Charlottenburg,
Geschäftsführer: Peer Heinlein -- Sitz: Berlin
Mehr Informationen über die Mailingliste Postfixbuch-users