535
contributi
Configurare SPF and DKIM su Postfix: differenze tra le versioni
Vai alla navigazione
Vai alla ricerca
Configurare SPF and DKIM su Postfix (visualizza wikitesto)
Versione delle 19:18, 2 nov 2021
, 2 nov 2021→Metodo per la corretta rotazione delle chiavi
Nessun oggetto della modifica |
|||
| Riga 229: | Riga 229: | ||
==Metodo per la corretta rotazione delle chiavi== | ==Metodo per la corretta rotazione delle chiavi== | ||
Questo metodo è applicabile solamente se si è effettuata la configurazione di opendkim multi-dominio ed è necessario solo se ci si vuole assicurare di non perdere alcuna mail durante la propagazione dei record DNS. | |||
Si premette che le chiavi DKIM non hanno scadenza, pertanto è tecnicamente possibile non cambiarle mai. Però è consigliato la creazione e la revoca di nuove chiavi almeno una volta l'anno<ref>[https://www.ncsc.gov.uk/collection/email-security-and-anti-spoofing/configure-anti-spoofing-controls-/create-and-manage-a-dkim-record UK National Cyber Secyrity Center: Creation and managin of DKIM record ]</ref> | |||
La procedura da eseguire è veramente semplice. Si genera una nuova coppia di chiavi (pubblica e privata) come nel passo per configurare [[#Completa:_multi-dominio|opendkim in modalità multi-dominio]] ed aggiornare il selector nel file di configurazione <code>keytable</code> che elenca le chiavi (per esempio da 2021 passare a 2022). | |||
Utilizzare il nuovo file .txt generato per aggiungere la nuova chiave al record DNS con il nuovo selector. Si ricorda di non rimuovere o modificare il record DKIM pre-esistente. Testare nuovamente la chiave (con il nuovo selector) sempre con il comando <code>opendkim-testkey</code>. | |||
Il passo di verifca è molto importante, altrimenti per un qualsiasi errore è possibile che le email non verranno recapitate. | |||
Riavviare opendkim e postfix | |||
systemctl start opendkim | |||
systemctl start postfix | |||
Assicurarsi che si siano riavviati senza errori. | |||
Dopo un paio di settimane, tutte le email in transito dovrebbero essere state recapitate o rifiutate e quindi il vecchio record DNS per DKIM non è più necessario e pertanto può essere eliminato. Lasciare solamente il più recente. | |||
==Note== | ==Note== | ||