🚆 💰 🏸 एक्जिम + डीकेआईएम फ्रीबीएसडी 8.2 के उदाहरण पर 🔚 ⛎ 🧘🏻

DKIM क्या है और यह कैसे काम करता है

DKIM (डोमेन की पहचान के लिए खड़ा है मेल ) - डोमेन कुंजी द्वारा अक्षरों की पहचान करने की एक विधि।
डिजिटल रूप से आउटगोइंग ईमेल पर हस्ताक्षर करने के लिए DKIM को मेल सर्वर पर कॉन्फ़िगर किया गया है। भेजे गए संदेश के हेडर में ऐसे हस्ताक्षर की उपस्थिति प्राप्तकर्ता सर्वर को सूचित करती है कि यह वास्तव में निर्दिष्ट डोमेन से भेजा गया था।
यह ज्ञात है कि स्पैम ईमेल में अक्सर से: फ़ील्ड में एक ई-मेल डालते हैं, जिसमें प्रेषक के साथ कुछ भी नहीं करना है। इस मामले में, DKIM आपको वास्तविक स्पैम ईमेल को पहचानने में मदद करेगा। डिजिटल रूप से हस्ताक्षरित पत्रों के अन्य तरीकों के विपरीत, डीकेआईएम मौजूदा प्रारूपों और प्रोटोकॉल के साथ संगत है और इसे मौजूदा मेल डिलीवरी और रसीद सिस्टम में समेकित रूप से एकीकृत किया जा सकता है।

निजी कुंजी का उपयोग करके एसएमटीपी सर्वर पर संदेश पर हस्ताक्षर किए जाते हैं, और हस्ताक्षर को सार्वजनिक कुंजी का उपयोग करके प्राप्तकर्ता सर्वर या क्लाइंट प्रोग्राम पर डिक्रिप्ट किया जाता है। दिलचस्प है, सार्वजनिक कुंजी DNS में संग्रहीत होती है, जो आपको एक पत्थर से दो पक्षियों को मारने की अनुमति देती है। सबसे पहले, इसे डिक्रिप्ट करने के लिए प्रत्येक पत्र के साथ एक सार्वजनिक कुंजी संलग्न करने की आवश्यकता नहीं है। और दूसरी बात, इस मामले में, डीकेआईएम आपको प्राप्तकर्ता सर्वर को यह बताने की अनुमति देता है कि एक पत्र के साथ क्या करना है जिसमें डिजिटल हस्ताक्षर नहीं है, लेकिन माना जाता है कि आप से भेजा गया है। इस तकनीक को ADSP (ऑथर डोमेन साइनिंग प्रैक्टिस) कहा जाता है। ADSP को SMTP सर्वर के DNS में भी संग्रहीत किया जाता है और यह किसी भी और हर जगह पहुंच योग्य है।

एक्ज़िम में DKIM कॉन्फ़िगर करें

पहले आपको निजी कुंजी + सार्वजनिक कुंजी की एक जोड़ी बनाने की आवश्यकता है।
एन्क्रिप्शन के तरीके और मुख्य लंबाई विकिपीडिया पर उपलब्ध हैं:

DKIM अच्छी तरह से स्थापित क्रिप्टोग्राफिक टूल का उपयोग करता है। फिलहाल, डिजिटल हस्ताक्षर के लिए DKIM लेखक दो एल्गोरिदम प्रदान करते हैं: RSA-SHA256 और RSA-SHA1, लेकिन भविष्य में अन्य एल्गोरिदम का समर्थन करने के लिए प्रौद्योगिकी का विस्तार किया जा सकता है। कुंजी की लंबाई 4096 बिट्स तक सीमित है, क्योंकि एक लंबी कुंजी एक यूडीपी यूडीपी पैकेट के अधिकतम आकार में फिट नहीं होगी - 512 बाइट्स। अनुशंसित कुंजी की लंबाई 1024 से 2048 बिट्स तक है। बहुत अधिक लंबाई प्रत्येक संदेश को संसाधित करने के लिए सर्वर पर एक कम्प्यूटेशनल लोड बनाता है, और बहुत छोटा (384 या 512 बिट्स) पीसी का उपयोग करके या क्लाउड कंप्यूटिंग सेवा का उपयोग करके वर्तमान समय के लिए बस्ट करके क्रैक किया जाता है।

शोध के परिणामों के अनुसार, आरएसए के साथ एन्क्रिप्टेड डेटा को 1024 बिट्स की लंबाई के साथ डिक्रिप्ट करना संभव है। इसलिए, आज के लिए इष्टतम RSA कुंजी लंबाई में 2048 बिट्स है।
एक प्रमुख जोड़ी उत्पन्न करने के लिए, आप ऑनलाइन सेवा www.port25.com/support/domainkeysdkim-wizard का उपयोग कर सकते हैं या कंसोल में ओपनएसएल का उपयोग कर सकते हैं।

हम खुल के माध्यम से एक गुप्त कुंजी उत्पन्न करते हैं

root@server# openssl genrsa -out /usr/local/etc/exim/example.com.key 2048

आउटपुट में हमारे पास फॉर्म की एक कुंजी है:

 -----BEGIN RSA PRIVATE KEY----- MIICXQIBAAKBgQDT1tSzyG2Zch4LTgGPbn/8H535Vd+friNn/gBsV7rFNVZdxapD dOUzeATUTbAG/3Ux7vJxYd6i982IajVz0b2dsmkdDzctC4EdJsLcpCpyf3x21nYZ oJO2GjaFW65MNj7dU7BXDerLTE+zTu/Q4vs4ZqCA39CtbmetjBS9l/NsMQIDAQAB AoGBAM2ZyVFAatkQSBaivLwlWknapSPgv4g7h5FSTXeI9i5frx+V1UnRDki+FTx nbH9CErRZh8jZQj4x1Pp+T0SyRtb62ydJooPYIpNlTt71cgZNwH174uFt4HevKmC MJIhzaufEZYhamS4NQOR+4FakdZX2T8yzuvwDwkplJP2tO/tAkEA7RDltCTOShdd sJYs0wjs1mDXUiSz0giFAYvMBvOelpyjJl9Pi1A0CNcD4WdvAl0Xo5aRMVrTXRzf .... -----END RSA PRIVATE KEY-----

हम एक गुप्त पर आधारित एक सार्वजनिक कुंजी बनाते हैं

 root@server# openssl rsa -in /usr/local/etc/exim/example.com.key -pubout

आउटपुट कुछ इस तरह मिलेगा:

हम DNS को सही करते हैं

एक DKIM चयनकर्ता जोड़ें

DNS के साथ DNS में mail1._domainkey.example.com TXT रिकॉर्ड बनाएँ:

 k=rsa\; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDT1tSzyG1Zch4LTgGPbn/8H535Vd+friNn/gBsV7rFNVZdxapDdOUzeATUTb...

(इस मामले में, यह BIND पर DNS सर्वर के लिए वाक्यविन्यास है, और अन्य DNS सर्वर को "भागने के लिए" \ "साइन की आवश्यकता नहीं हो सकती है;"।)
Mail1 के बजाय , आप एक और चयनकर्ता का उपयोग कर सकते हैं, उदाहरण के लिए, dkim , सर्वर , सार्वजनिक, आदि। DKIM के लिए कई समान सार्वजनिक कुंजी प्रविष्टियाँ हो सकती हैं।
आपको तब तक इंतजार करना होगा जब तक कि आपका DNS रिकॉर्ड अन्य सर्वर पर अपडेट न हो जाए। इसमें कई घंटे लग सकते हैं।
आप अपना DKIM रिकॉर्ड देख सकते हैं, उदाहरण के लिए, DNSWatch सेवा का उपयोग करके।

ADSP रिकॉर्ड जोड़ें

हम dkim = अज्ञात मान के साथ TXT प्रकार के DNS रिकॉर्ड _adsp._domainkey.example.com में बनाते हैं।
अज्ञात के अलावा , dkim पैरामीटर में दो और मूल्य हो सकते हैं - सभी और त्यागने योग्य ।

अज्ञात - डोमेन कुछ या सभी पत्रों पर हस्ताक्षर कर सकता है।
सभी - डोमेन से सभी पत्रों पर हस्ताक्षर किए जाते हैं।
त्यागने योग्य - डोमेन के सभी पत्रों पर हस्ताक्षर किए गए हैं। इसके अलावा, यदि कोई पथ में परिवर्तन के कारण वैध हस्ताक्षर के बिना आता है, तो हस्ताक्षर कुंजी तक पहुंच के बिना मार्ग से गुजरना, या अन्य कारणों से, डोमेन प्राप्तकर्ता को इसे अस्वीकार करने के लिए प्रोत्साहित करता है।

एक्ज़िम कॉन्फ़िगरेशन संपादित करें

फ़ाइल / usr / स्थानीय / आदि / एक्सिम / कॉन्फ़िगर में, शुरुआत में जोड़ें:

 ## DKIM: DKIM_DOMAIN = ${lc:${domain:$h_from:}} DKIM_FILE = /usr/local/etc/exim/${lc:${domain:$h_from:}}.key DKIM_PRIVATE_KEY = ${if exists{DKIM_FILE}{DKIM_FILE}{0}}

यह डिज़ाइन आपको विभिन्न डोमेन के लिए अलग-अलग निजी कुंजियों का उपयोग करने की अनुमति देगा।
हम सही transport_smtp परिवहन:

  remote_smtp: driver = smtp dkim_domain = DKIM_DOMAIN dkim_selector = mail1 dkim_private_key = DKIM_PRIVATE_KEY

यहाँ mail1 हमारा चयनकर्ता है।

कॉन्फ़िगरेशन को सहेजें और इसे फिर से पढ़ें:

 root@server# service exim reload

डीकेआईएम चेक

DKIM की जाँच करने के कई तरीके हैं। मैं उनमें से दो का वर्णन करूंगा।
1) यह ज्ञात है कि जीमेल ईमेल में DKIM रिकॉर्ड की जाँच करता है। हम अपने जीमेल मेलबॉक्स को एक ईमेल भेजते हैं और हेडर देखते हैं।
हम फॉर्म का एक रिकॉर्ड पाते हैं

 Authentication-Results: mx.google.com; spf=pass (google.com: domain of info@example.com designates 100.12.94.241 as permitted sender) smtp.mail=info@example.com; dkim=pass header.i=@example.com

dkim = पास का मतलब है कि DKIM कॉन्फ़िगर किया गया है और एक सफल चेक पास किया है।
2) सेवा www.port25.com से DKIM चेकर का उपयोग करें।
हम check-auth2@verifier.port25.com पर एक परीक्षण पत्र भेजते हैं और इसके पीछे से सत्यापन के परिणाम की प्रतीक्षा करते हैं।

संदर्भ:
DKIM wiki en.wikipedia.org/wiki/DomainKeys_Identified_Mail
DKIM ADSP www.dkim.org/specs/draft-ietf-dkim-ssp-04.html
DKIM विज़ार्ड www.port25.com/support/domainkeysdkim-wizard
HOWTO: एक्जिम और डीकेआईएम फोरम। लिसियारा.सु / शिवोपदेशक। एफपीपीईएफ 2020 & t=22162
आदमी खुलता है
DNSWatch www.dnswatch.info

एक्जिम + डीकेआईएम फ्रीबीएसडी 8.2 के उदाहरण पर