postfix - dkim - praxisfragen

Di Okt 24 09:32:24 CEST 2017

Am 23.10.2017 um 14:42 schrieb Hajo Locke:
> - Wie oft wechselt Ihr die Schlüssel? ich hatte so 6 Monate bei 2048er Schlüssellänge angepeilt . Ist das ausreichend oder lasst Ihr längere Pausen?
https://www.m3aawg.org/documents/en/m3aawg-dkim-key-rotation-best-common-practices

praktisch rotieren die wenigsten Versender vollautomatisch. 3-6 Monate wäre für mich aber auch ein guter Zeitraum.
Wichtiger ist die Schlüselgröße. Da greife ich auch gern zu 2048 Bit nicht mehr aber auch nicht weniger ...

> - Verwendet Ihr "subdomains yes" in der opendkim.conf bzw. --subdomains bei opendkim-genkey? Aus meiner Sicht ist ein Key für Domain/Subdomains ausreichend und muss nicht weiter aufgeteilt werden.
persönlicher Geschmack / hängt von der Anforderung ab. Ich habe kein Bedarf dafür. Subdomain signiere ich separat mit einem passenden Schlüssel.

> - Muss man Lastprobleme erwarten? Unter Umständen versendet ein Kunde Newsletter mit tausenden Empfängern die dann alle signiert würden. Ist dkim da übermäßig cpu hungrig?
nein, Wenn Dein Server Luft hat, plötzlich ein Vielfaches an E-Mails zu verarbeiten, dann kann er auch ganz locker DKIM-Signaturen erzeugen, ohne zu explodieren.

-- 
A. Schulze
DATEV eG