DKIM-Signatur

Mithilfe der Optionen im Konfigurationsdialog DKIM-Signatur können Sie MDaemon so konfiguriert werden, dass abgehende Nachrichten, die bestimmte Kriterien erfüllen, über DKIM signiert werden; Sie können auch die Kriterien bestimmen, die die Nachrichten erfüllen müssen. In diesem Dialog werden auch die Selektoren und die öffentlichen und geheimen Schlüssel für die Signatur über DKIM konfiguriert und erstellt. Beim ersten Programmstart werden ein vorgegebener Standard-Selektor ("MDaemon") und ein Schlüsselpaar aus öffentlichem und privatem Schlüssel automatisch erstellt. Alle Schlüssel sind einmalig, sie können bei zwei verschiedenen Systemen niemals gleich sein, und zwar auch dann nicht, wenn die Bezeichnung der Selektoren übereinstimmen sollte. Per Voreinstellung werden die Schlüssel mit einer Länge von 1.024 Bit erzeugt. Diese Schlüssellänge gewährleistet bereits ein hohes Maß an Sicherheit.

Signatur über DKIM

Abgehende Nachrichten über DKIM signieren, falls sie die Kriterien für die Signatur erfüllen

Diese Option bewirkt, dass abgehende Nachrichten über DomainKeys-Identified-Mail kryptografisch signiert werden. Eine abgehende Nachricht wird aber auch bei aktivierter Option nur dann signiert, falls sie die Kriterien erfüllt, die nach einem Klick auf das Steuerelement Definition der Kriterien für die Signatur von Nachrichten festgelegt werden können, und falls MDaemon sie über eine echtheitsbestätigte SMTP-Verbindung (SMTP-AUTH) erhalten hat. Es ist auch eine Aktion für den Inhaltsfilter verfügbar, "Mit DKIM-Selektor signieren...", mit deren Hilfe Nachrichten gezielt signiert werden können.

...Nachrichten für Mailinglisten signieren

Diese Option bewirkt, dass MDaemon alle abgehenden Nachrichten für Mailinglisten kryptografisch signiert. Da MDaemon hierbei jeweils alle Nachrichten aller Mailinglisten signiert, müssen die Mailinglisten nicht mithilfe des Konfigurationsdialogs Definition der Kriterien für die Signatur von Nachrichten zur kryptografischen Signatur vorgesehen werden.

Die Signatur von Nachrichten für Mailinglisten macht eine Bearbeitung jeder einzelnen Nachricht durch den Inhaltsfilter erforderlich, der die Listenpost dazu aufspalten muss. Dies kann bei besonders großen Mailinglisten oder solchen mit starkem Nachrichtenverkehr die Systemleistung beeinträchtigen.

Standard-Selektor

Aus diesem Rollmenü muss der Selektor ausgewählt werden, dessen Schlüsselpaar zum Signieren abgehender Nachrichten genutzt werden soll. Falls ein neues Schlüsselpaar für einen anderen Selektor erstellt werden soll, muss der gewünschte Name für den neuen Selektor in das Feld eingetragen werden. Durch Anklicken des Steuerelements Neue öffentliche und geheime Schlüssel erzeugen werden die Schlüssel erzeugt. Falls nicht alle Nachrichten mit dem selben Selektor signiert werden sollen, müssen die Selektoren den zu signierenden Nachrichten durch den Menüpunkt Definition der Kriterien für die Signatur von Nachrichten oder über Regeln des Inhaltsfilters der oben genannten Aktion "Mit DKIM-Selektor signieren..." zugeordnet werden.

Diesen Selektor löschen

Durch Anklicken dieses Steuerelements können Sie einen Selektor löschen. Folgen Sie dazu den Anweisungen, die nach dem Anklicken angezeigt werden.

Neue öffentliche und geheime Schlüssel erzeugen

Ein Klick auf dieses Steuerelement erzeugt für den oben ausgewählten Selektor ein neues Schlüsselpaar mit je einem öffentlichen und geheimen Schlüssel. Nachdem das Schlüsselpaar erzeugt wurde, wird die Datei dns_readme.txt erzeugt und automatisch angezeigt. Diese Datei enthält beispielhafte DKIM-Daten, die nötig sind, um im DNS der eigenen Domäne die DKIM-Richtlinie und den öffentlichen Schlüssel für den angegebenen Selektor zu hinterlegen. Die Datei enthält Beispiele sowohl für den Test- als auch für den Regelbetrieb und für die Angabe, ob alle oder nur bestimmte Nachrichten aus der eigenen Domäne signiert sein müssen. Falls DKIM und der Selektor im Testbetrieb eingesetzt werden, muss die Information im Abschnitt "Testing" für Richtlinie oder Selektor genutzt werden, je nach dem, ob Richtlinie oder Selektor getestet werden. Für den Regelbetrieb müssen die Daten verwendet werden, die mit "Not Testing" gekennzeichnet sind.

Alle Schlüssel werden im Format PEM abgelegt; die Selektoren und die Schlüsseldateien werden im Verzeichnis \MDaemon\Pem nach folgendem Schema gespeichert:

\MDaemon\Pem\<Selector>\rsa.public - öffentlicher Schlüssel für diesen Selektor

\MDaemon\Pem\<Selector>\rsa.private - geheimer Schlüssel für diesen Selektor

Die Dateien in diesen Ordnern sind selbst nicht verschlüsselt oder verborgen. Da sie aber geheime RSA-Schlüssel enthalten, die unbefugten Personen keinesfalls zugänglich sein sollen, muss der Systemverwalter mithilfe des Betriebssystems oder geeigneter Hilfsprogramme entsprechende Schutzmaßnahmen für die Ordner und die in ihnen enthaltenen Unterordner und Dateien ergreifen.

Definition der Kriterien für die Signatur von Nachrichten

Ist die Option zur Signatur abgehender Nachrichten aktiv, so kann durch Anklicken dieses Steuerelements die Datei DKSign.dat bearbeitet werden; Sie enthält die Liste der Domänen und Adressen, anhand derer MDaemon feststellt, ob eine abgehende Nachricht signiert werden soll. Für jede in der Liste erfasste Adresse muss auch angegeben werden, ob eine Nachricht von dieser Adresse stammen oder an sie gerichtet sein muss, damit die Nachricht signiert wird. Neben den üblicherweise verwendeten Kopfzeilen To und From sind auch weitere Kopfzeilen zulässig, wie etwa "Reply-To" und "Sender". Wahlweise kann für jeden Eintrag ein Selektor definiert werden, die zur Signatur der entsprechenden Nachrichten verwendet wird. Schließlich kann wahlweise eine Domäne als Erstellerin der Signatur angegeben werden; diese dient als Wert des Attributes "d=" in der Signatur-Kopfzeile. Dies kann etwa sinnvoll sein, wenn Nachrichten mehrerer Subdomänen signiert werden. In diesem Fall kann das Attribut "d=" dem Server des Mailempfängers mitteilen, dass die DKIM-Schlüssel im DNS-Eintrag nur einer Domäne zu finden sind. Alle Schlüssel können dann in einem Datensatz verwaltet werden, getrennte Datensätze für alle Subdomänen sind nicht erforderlich. Jokerzeichen sind für Domänennamen und E-Mail-Adressen zulässig.

Alle Nachrichten aus lokalen Domänen signieren

Diese Option bewirkt, dass alle Nachrichten, die aus lokalen Domänen stammen, vor dem Versand signiert werden. Bei Nutzung dieser Option müssen die lokalen Domänen in die Liste der Domänen, deren Nachrichten signiert werden sollen (d.h. die Datei DKSign.dat), nur noch dann eingetragen werden, wenn bestimmte Selektoren oder der Tag "d=" für die Signatur der Nachrichten bestimmter Domänen verwendet werden sollen. Diese Option ist per Voreinstellung aktiv.

Siehe auch: