Създаване на цифров подпис Dkim в Exchange 2013 - IT в реалния свят

Внимателен администратор, загрижен за проблема със спама, регистрира SPF запис преди много време и внимателно разгледа как работи с другите за свой собствен интерес.

Не толкова отдавна големите играчи използваха мека политика на запис, т.нар. мек отказ.

„За разлика от това, Microsoft използва мек отказ. Много доставчици трети страни, които изпращат имейл съобщения от името на Microsoft за анкети, бюлетини и т.н., са извън SPF записа, който Microsoft използва. Тъй като Microsoft не притежава това IP пространство, но все пак иска тези организации да могат да изпращат имейл съобщения от името на Microsoft, Microsoft използва софтуерен отказ.

Още една промяна -имаше цифров подпис за писма, както се вижда от наличието на публичен ключ в същия TXT запис.

Така че един внимателен администратор, който гледа на Microsoft във всичко, вероятно също ще иска да си направи прекрасен цифров подпис за съобщения, след като прочете съдържанието на статията.

Цифров подпис

DKIM (Domain Keys Identified Mail) е технология за удостоверяване на подателя, използваща цифров подпис, свързан с име на домейн. Наличието на този подпис потвърждава, че съобщението не е било прихванато и променено, след като е било изпратено от пощенския сървър на подателя.

Цифровият подпис е предназначен за определяне на автентичността на имейл и се използва за борба със спама и фишинга.Писмата се подписват цифрово на пощенския сървър на подателя. Самият подател не може да постави подписа, освен ако не е администратор на сървъра, от който се изпраща писмото.

Ако на страницата за четене на съобщения в полетоОт видите сива иконаЦифровият подпис не е валиден,Препоръчително е да внимавате за съдържанието на писмото.

Не толкова отдавна цифровият подпис в Exchange можеше да бъде инсталиран с решения на трети страни, което не всеки можеше да оцени. Проектът OpenDKIM обаче беше предложен от общността, който след почукване с чук също беше доста добър и беше подходящ за цифрово подписване на имейли.

Днес бих искал да говоря за проекта dkim-exchange, който не изисква Linux решения и финансови разходи.

Решението се основава на транспортен агент, който се инсталира в допълнение към останалите транспортни агенти и е по-лесен за инсталиране и използване. Така че, изтеглете дистрибуцията.

Ние внимателно разглеждаме помощта и съдържанието.

Програмата се състои от конфигурационен файл configuration-dkimsigner-exe-config, в xml формат, в който са записани настройките, и програмен файл, стартирайте го, като отворите EMS с повишени привилегии и стартиратеConfiguration.DkimSigner.exe

Ние също така се уверяваме, че политиката позволява изпълнение на скрипт

Set-ExecutionPolicy Unrestricted

2013

Интерфейсът не е особено труден, а за тези, които желаят, можете да направите всичко със скрипт, без да използвате съветника.

Така че, просто натиснетеИнсталиране, агентът, който ще подписва нашите съобщения, ще бъде инсталиран във фонов режим и транспортната услуга ще бъде рестартирана.

2013

Агентът трябва да е последен в списъка с приоритети, не изисква допълнителни настройки, съвместим е с Exchange от 2007 г. и се поддържа до най-новите версии.

Така че, след като инсталирате агента, остава много малко да направите:

отидете в разделаНастройки на Dkim и променете нивото на регистриране на по-пълно -Отстраняване на грешки.

При конфигуриранетова ще ни бъде полезно, в бъдеще ще намалим настройките, за да виждаме само грешки, когато програмата работи нормално.

създаване

В момента не можете да промените нищо, но отбелязвам, че можем да променим алгоритъма за подпис, както и да изберем заглавията, които искаме да подпишем по желание. Настройките се прилагат незабавно чрез натискане на бутона Save Settings.

Продължаваме към разделаНастройки на домейна

създаване

Тук добавяме домейна с бутонаДобави, който искаме да подпишем. След това генерираме ключ с необходимата дължина. например, нека вземем килобит за начало и да посочим селектора - хоста, който отговаря за изпращането на поща до организацията. Веднага ще ни бъде предложен запис, създаден на базата на частни и публични ключове в редаПредложен DNS запис d, можем да го използваме. С бутона Existing DNS Record можете да проверите съществуващия запис във външната DNS зона, която сега ще създадем.

Ако искате повече свобода, тогава можете да създадете запис в много онлайн услуги, които ще ви помогнат да го конструирате по същия начин като мастер. Например този сайт

dkim

След като получи необходимите настройки от нас, ще създаде записShow DNS Record :

И така, трябва да създадем запис катоmx1._domainkey.razbornov.ru В TXT в нашата зона, т.е.

името на селектора е _domainkey и нашето име на домейн. Няма нищо по-лесно - в хостинг панела създаваме запис, ето как изглежда, гледаме записа по-долу:

dkim

ще се върнем към най-горния запис в екранната снимка малко по-късно.

И така, настроихме програмата, създадохме запис в DNS. След няколко часа, когато промените са приложени, можете да проверите настройките. Най-лесният начин е да изпратите писма до услуга, която гордо показва, че писмото е подписано с цифров подпис, тукТака:

dkim

Заглавките на съобщенията също трябва да съдържат резултата: dkim=pass header.

Докато изпращаме писма, гледаме дневника:

2013

Вижда се (минаваме от избрания ред нагоре). че има съобщение, което агентът възнамерява да подпише цифрово. Агентът създава хеш и подписва съобщението, след което то се изпраща за изпращане.

dkim

или можете да използвате услугата, за която вече писах.

Отстраняване на неизправности:

Деактивиране и деинсталиране на агент

Можете временно да деактивирате или премахнете агента със следните команди: 1. Спрете транспортната услугаNet Stop 'MSExchangeTransport ', 2. Деактивирайте агентаDisable-TransportAgent ‘Exchange DkimSigner’, 3. Ако е необходимо, премахнете обвързването муUninstall-TransportAgent -Identity ‘Exchange DkimSigner’ 4. Стартирайте транспорта обратноNet Start 'MSExchangeTransport'. 5. Премахване на файлове Можете също да използвате прикачения инсталационен скрипт “.\uninstall.ps1 ”, за да го деинсталирате, използването му е подобно на инсталирането. По-лесно е, разбира се, да използвате графичния съветник - той има всички настройки.

http://www.mail-tester.com/web-EE47Ci P.S. След като публикувахме днес. как да подписвам съобщения. Бих искал да кажа още няколко думи.

Първо, призовавам да стимулираме разработчиците на софтуер с малка сума, която, разбира се, няма да е излишна за тях.

Второ, когато се почувствате комфортно с DKIM подписа, съветвам ви да създадете и DMARC политика.

Това е пакет от SPF и DKIM записи. Можете просто да създадете политика, която казва, че всяко от нашите писма ще бъде подписано, както е на екранната снимка, към която обещах да се върна. Това ще бъде като рекорд

v=DMARC1; p=отхвърляне.Този записказва, че нецифрово подписаните писма не трябва да се приемат като съответстващи на декларацията за политиката.

Интересно е да се отбележи, че дори и да не сте усвоили статията, не използвайте DKIM, би било добре да създадете DMARC политика така или иначе, казвайки, че имате политика и не е необходимо да предприемате никакви действия с писма. Това ще бъде запис като v=DMARC1; p=няма.

Колкото и да е странно, но създаването на такъв запис в DNS без конфигуриране на DKIM ще ви даде допълнителни положителни точки, когато анализирате вашите писма от пощенски системи на трети страни. И това е много правилно - правите поне нещо, което вече е добре направено - остават само няколко стъпки за пълно подписване на съобщения и политики за тяхното използване, нали?