DKIM подпис в MS Exchange
Добър ден, Хабр!
Търсенето показа, че нашата конфигурация не включва използването на DKIM подпис, необходимостта от който започва да нараства до задължително ниво. Но уловката беше, че MS Exchange Edge се използва като MTA във връзка с Forefront Protection, който не знае как да работи с DKIM, и инсталирането му преди друг MTA, например postfix, обеща да се откаже от Forefront DNS-BL, да преконфигурира SSL / TLS и допълнително да усложни конфигурацията. И ме извинете, но като администратор на Windows наистина не исках да правя всичко това.
Има много описания на принципите на DKIM и неговите настройки, ако не сте запознати с това, моля, прочетете следните статии, те ясно и ясно описват всичко: DKIM е прост, Без повече букви в папката за спам: настройка на SMTP сървър.
Exchange DKIM Signer
Това е транспортен агент, вътрешен манипулатор на съобщения. В Exchange има много от тях, например имаме 14 от тях, всеки върши своята част от работата, проверява за спам, филтрира прикачени файлове или променя заглавки, писмото минава през тях последователно. Следователно агентът за подписване на DKIM трябва да бъде поставен в самия край, когато буквата вече не трябва да се променя.
Ако се използва Exchange 2007sp3-2010sp3, тогава последната версия може да бъде изтеглена от тук, за Exchange 2013 се използва версия 2.0 на Агента, който има GUI за инсталация, така че не би трябвало да има въпроси, линкове към онлайн/офлайн инсталатори можете да намерите тук.
Инсталиране с помощта на Exchange 2010 SP3 като пример
Операцията трябва да се извърши на всички сървъри, които имат ролята на външен транспорт.
Това описва 3 правила за пример, където Domain= е домейнът, чийто ключ се използва за подписване, Selector= е селекторът, където се намира публичният ключ,PrivateKeyFile= - къде е пътят до частния ключ (относителен или абсолютен), RecipientRule= и SenderRule= - филтри на изпращачи или получатели по регулярни изрази, определяне на буквите, които трябва да бъдат подписани с този ключ. Достатъчно е да оставите само 1 ред и да въведете вашите данни в него, тогава всички изходящи писма ще бъдат подписани.
5. Натиснете Enter и вижте съобщение за края на инсталацията, транспортните услуги трябва да стартират. Проверяваме регистъра на събитията за възможни грешки, в раздела „Приложения“, Агентът оставя записи от името на „Exchange DKIM“, 6. Също така проверяваме списъка с транспортни агенти чрез командата "Get-TransportAgent",Exchange DkimSignerтрябва да е на последно място, ако не, тогава променете приоритета му с командата, където N е номерът на последния агент в списъка. 7. Командата "Set-ExecutionPolicy Restricted" връща правилата за изпълнение по подразбиране за външни скриптове.
Деактивиране и деинсталиране на агент
Можете временно да деактивирате или премахнете агента със следните команди: 1. Спрете транспортната услуга "Net Stop MSExchangeTransport", 2. Деактивиране на агент Disable-TransportAgent -Identity "Exchange DkimSigner", 3. Ако е необходимо, премахнете обвързването му "Uninstall-TransportAgent -Identity "Exchange DkimSigner"", 4. Стартираме транспорта обратно "Net Start MSExchangeTransport". 5. Изтриване на файлове Можете също да използвате скрипта ".\uninstall.ps1", прикачен към инсталацията, за да го премахнете, използването му е подобно на инсталацията.
Заключение
И тук можете да получите грант за тестов период на Yandex.Cloud. Необходимо е само да въведете "Habr" в полето "секретна парола".