dkim - Aufwand vs. Nutzen

[Hajo Locke]

Hallo,

Am 17.07.2018 um 16:14 schrieb Gunther Nitzsche:
> Hi,
>
> On 17.07.2018 11:20, Hajo Locke wrote:
>> Hallo Liste,
>>
>> ich plane für eine verschiedenen Domains dkim einzusetzen, die
>> technischen Tests habe ich bereits absolviert.
>> Mir stellt sich da aktuell eine andere Frage. Sollte ich für jede der
>> Domains einen eigenen privaten Key erzeugen und Mails der Domains
>> separat signieren oder arbeite ich besser mit einem einzigen Key für
>> alle Domains.
>> Vorteil verschiedener Keys wäre die erhöhte Sicherheit untereinander
> Die Sicherheit wird dadurch kaum erhöht - nur das TrustLevel auf
> Empfängerseite.
>
>> aber ich müsste verschiedene DNS Einträge und verschiedene Selektoren
>> pflegen.
> Wobei der Pflege-Aufwand sich vornehmlich auf die Erst-Einrichtung
> konzentriert.
>
>> Mit einem einzigen Key würde die Verwaltbarkeit für mich enorm
>> steigen. Ich könnte Mails von domaina.de und domainb.de signieren und
>> dabei im dkim hinterlegen, dass öffentlicher Schlüssel zum
>> verifizieren unter domainc.de zu finden ist. Die User der Domains
>> könnten dann zwar keine individuellen Einstellungen haben, aber ich
>> müsste alles nur in einfacher Ausführung pflegen. Was meint Ihr?
> Das geht, wird aber tatsächlich von bestimmten Empfängern "schwächer"
> bewertet (scoring)
> als passende Einträge.
> Wird eine Domain (domaina) für Spamversand missbraucht, sinkt dadurch
> der Trustlevel nicht nur von
> domaina, sondern auch von domainc - und damit auch von domainb.
> Bei separaten keys wären domainb (und domainc) nicht betroffen.
>
> Ich empfehle separate keys pro Domain.
Hmm, so etwas hätte ich nicht erwartet und spricht für separate Keys. 
Ich werde das mal so empfehlen.
>
> Just my 2 cent :-)
>
> Gruß
> Gunther
>
>> Danke,
>> Hajo
>>
>
> NetCologne Systemadministration
Danke,
Hajo