Let's Encryptを使用してDKIMを設定するにはどうすればよいですか?
長い間、暗号化されたすべてのサービス(HTTPS、IMAPS、SMTPS、FTPS)にLet'sEncryptを使用しています。次に、メールサーバーにDKIM署名を追加します。しかし、これはLet's Encryptを使用して可能ですか? DKIMDNSエントリに公開鍵を追加する必要があります。ただし、Let'sEncrypt証明書は30日ごとに新しく作成されます。
Let's Encrypt証明書をDKIMに使用するにはどうすればよいですか?
(メールサーバーでDKIMを設定する方法を知っています。私の質問の焦点はDKIMのDNSエントリです)
この質問への答えは次のとおりです:あなたはそうするべきではありません。
[〜#〜] rfc [〜#〜] によると:
署名アプリケーションには、検証公開鍵が要求された署名者に関連付けられているというある程度の保証が必要です。多くのアプリケーションは、信頼できるサードパーティによって発行された公開鍵証明書を使用してこれを実現します。 ただし、DKIMは、公開鍵を取得するためにVerifierに署名者のDNSエントリ(または同等のセキュリティ)を照会させるだけで、十分なレベルのセキュリティを実現し、スケーラビリティを大幅に向上させることができます。 。
DNSによって検証されるため、DKIMを使用して独自のキーに署名するだけです。 DMARCとDNSSECを実装することで、DKIMが適切にチェックされていることを確認できます。