postfix - dkim - praxisfragen

[Hajo Locke]

Am 30.10.2017 um 11:22 schrieb Hajo Locke:
> Hallo,
>
> danke für deine Antworten. Ich habe einiges probiert und denke ich bin 
> gerüstet. Auch Massenmails erzeugen keine signifikante Mehrlast.
> Nur eine letzte Frage. Welchen Wert empfiehlst du für Canonicalization 
> in der opendkim.conf?
> Oft lese ich von relaxed/simple, aber wäre ein relaxex/relaxed zur 
> Fehlervermeidung nicht besser?
> Woher weiß eigentlich der empfangende Server beim Vergleich, welchen 
> Algorithmus ich beim hashen verwendet habe? Oder hashed er zwei mal, 
> um beide Möglichkeiten prüfen zu können?
ahh, steht natürlich im Header der eingegangenen Mail, klar...

>
> Danke,
> Hajo
>
> Am 24.10.2017 um 09:32 schrieb Andreas Schulze:
>> Am 23.10.2017 um 14:42 schrieb Hajo Locke:
>>> - Wie oft wechselt Ihr die Schlüssel? ich hatte so 6 Monate bei 
>>> 2048er Schlüssellänge angepeilt . Ist das ausreichend oder lasst Ihr 
>>> längere Pausen?
>> https://www.m3aawg.org/documents/en/m3aawg-dkim-key-rotation-best-common-practices 
>>
>>
>> praktisch rotieren die wenigsten Versender vollautomatisch. 3-6 
>> Monate wäre für mich aber auch ein guter Zeitraum.
>> Wichtiger ist die Schlüselgröße. Da greife ich auch gern zu 2048 Bit 
>> nicht mehr aber auch nicht weniger ...
>>
>>> - Verwendet Ihr "subdomains yes" in der opendkim.conf bzw. 
>>> --subdomains bei opendkim-genkey? Aus meiner Sicht ist ein Key für 
>>> Domain/Subdomains ausreichend und muss nicht weiter aufgeteilt werden.
>> persönlicher Geschmack / hängt von der Anforderung ab. Ich habe kein 
>> Bedarf dafür. Subdomain signiere ich separat mit einem passenden 
>> Schlüssel.
>>
>>> - Muss man Lastprobleme erwarten? Unter Umständen versendet ein 
>>> Kunde Newsletter mit tausenden Empfängern die dann alle signiert 
>>> würden. Ist dkim da übermäßig cpu hungrig?
>> nein, Wenn Dein Server Luft hat, plötzlich ein Vielfaches an E-Mails 
>> zu verarbeiten, dann kann er auch ganz locker DKIM-Signaturen 
>> erzeugen, ohne zu explodieren.
>>
>>
>>
>
>