postfix - dkim - praxisfragen
Hajo Locke
Hajo.Locke at gmx.de
Mo Okt 30 11:27:12 CET 2017
Am 30.10.2017 um 11:22 schrieb Hajo Locke:
> Hallo,
>
> danke für deine Antworten. Ich habe einiges probiert und denke ich bin
> gerüstet. Auch Massenmails erzeugen keine signifikante Mehrlast.
> Nur eine letzte Frage. Welchen Wert empfiehlst du für Canonicalization
> in der opendkim.conf?
> Oft lese ich von relaxed/simple, aber wäre ein relaxex/relaxed zur
> Fehlervermeidung nicht besser?
> Woher weiß eigentlich der empfangende Server beim Vergleich, welchen
> Algorithmus ich beim hashen verwendet habe? Oder hashed er zwei mal,
> um beide Möglichkeiten prüfen zu können?
ahh, steht natürlich im Header der eingegangenen Mail, klar...
>
> Danke,
> Hajo
>
> Am 24.10.2017 um 09:32 schrieb Andreas Schulze:
>> Am 23.10.2017 um 14:42 schrieb Hajo Locke:
>>> - Wie oft wechselt Ihr die Schlüssel? ich hatte so 6 Monate bei
>>> 2048er Schlüssellänge angepeilt . Ist das ausreichend oder lasst Ihr
>>> längere Pausen?
>> https://www.m3aawg.org/documents/en/m3aawg-dkim-key-rotation-best-common-practices
>>
>>
>> praktisch rotieren die wenigsten Versender vollautomatisch. 3-6
>> Monate wäre für mich aber auch ein guter Zeitraum.
>> Wichtiger ist die Schlüselgröße. Da greife ich auch gern zu 2048 Bit
>> nicht mehr aber auch nicht weniger ...
>>
>>> - Verwendet Ihr "subdomains yes" in der opendkim.conf bzw.
>>> --subdomains bei opendkim-genkey? Aus meiner Sicht ist ein Key für
>>> Domain/Subdomains ausreichend und muss nicht weiter aufgeteilt werden.
>> persönlicher Geschmack / hängt von der Anforderung ab. Ich habe kein
>> Bedarf dafür. Subdomain signiere ich separat mit einem passenden
>> Schlüssel.
>>
>>> - Muss man Lastprobleme erwarten? Unter Umständen versendet ein
>>> Kunde Newsletter mit tausenden Empfängern die dann alle signiert
>>> würden. Ist dkim da übermäßig cpu hungrig?
>> nein, Wenn Dein Server Luft hat, plötzlich ein Vielfaches an E-Mails
>> zu verarbeiten, dann kann er auch ganz locker DKIM-Signaturen
>> erzeugen, ohne zu explodieren.
>>
>>
>>
>
>
Mehr Informationen über die Mailingliste Postfixbuch-users