dkim - Aufwand vs. Nutzen

classic Classic list List threaded Threaded
8 messages Options
Reply | Threaded
Open this post in threaded view
|

dkim - Aufwand vs. Nutzen

Hajo Locke
Hallo Liste,

ich plane für eine verschiedenen Domains dkim einzusetzen, die
technischen Tests habe ich bereits absolviert.
Mir stellt sich da aktuell eine andere Frage. Sollte ich für jede der
Domains einen eigenen privaten Key erzeugen und Mails der Domains
separat signieren oder arbeite ich besser mit einem einzigen Key für
alle Domains.
Vorteil verschiedener Keys wäre die erhöhte Sicherheit untereinander
aber ich müsste verschiedene DNS Einträge und verschiedene Selektoren
pflegen.
Mit einem einzigen Key würde die Verwaltbarkeit für mich enorm steigen.
Ich könnte Mails von domaina.de und domainb.de signieren und dabei im
dkim hinterlegen, dass öffentlicher Schlüssel zum verifizieren unter
domainc.de zu finden ist. Die User der Domains könnten dann zwar keine
individuellen Einstellungen haben, aber ich müsste alles nur in
einfacher Ausführung pflegen. Was meint Ihr?

Danke,
Hajo

Reply | Threaded
Open this post in threaded view
|

Re: dkim - Aufwand vs. Nutzen

Michael Grundmann-2
Hallo Hajo,

schau dir ansible an und die Verwaltung wird zum Einzeiler.

Gruß Michael

Wenn du verstehst, was du tust, wirst du nichts lernen

Am 17.07.18 um 11:20 schrieb Hajo Locke:

> Hallo Liste,
>
> ich plane für eine verschiedenen Domains dkim einzusetzen, die
> technischen Tests habe ich bereits absolviert.
> Mir stellt sich da aktuell eine andere Frage. Sollte ich für jede der
> Domains einen eigenen privaten Key erzeugen und Mails der Domains
> separat signieren oder arbeite ich besser mit einem einzigen Key für
> alle Domains.
> Vorteil verschiedener Keys wäre die erhöhte Sicherheit untereinander
> aber ich müsste verschiedene DNS Einträge und verschiedene Selektoren
> pflegen.
> Mit einem einzigen Key würde die Verwaltbarkeit für mich enorm steigen.
> Ich könnte Mails von domaina.de und domainb.de signieren und dabei im
> dkim hinterlegen, dass öffentlicher Schlüssel zum verifizieren unter
> domainc.de zu finden ist. Die User der Domains könnten dann zwar keine
> individuellen Einstellungen haben, aber ich müsste alles nur in
> einfacher Ausführung pflegen. Was meint Ihr?
>
> Danke,
> Hajo
>
Reply | Threaded
Open this post in threaded view
|

Re: dkim - Aufwand vs. Nutzen

Hajo Locke
Hallo Michael ,

solche Software verwenden wir eigentlich nie, unsere Programmierer
machen alles selbst. Wenn ich überzeugende Argumente habe, dass ein
separeter Key pro Domain notwendig wäre, dann würde das auch so
umgesetzt werden. Insgesamt ist der Aufwand aber höher, gerade wenn man
an Neuaustellung von x Keys denkt. Ein zentraler Key wäre da wesentlich
pflegeleichter und ich sehe aktuell nichts, was dagegen spräche.

Danke,
Hajo

Am 17.07.2018 um 15:43 schrieb Michael Grundmann:

> Hallo Hajo,
>
> schau dir ansible an und die Verwaltung wird zum Einzeiler.
>
> Gruß Michael
>
> Wenn du verstehst, was du tust, wirst du nichts lernen
>
> Am 17.07.18 um 11:20 schrieb Hajo Locke:
>> Hallo Liste,
>>
>> ich plane für eine verschiedenen Domains dkim einzusetzen, die
>> technischen Tests habe ich bereits absolviert.
>> Mir stellt sich da aktuell eine andere Frage. Sollte ich für jede der
>> Domains einen eigenen privaten Key erzeugen und Mails der Domains
>> separat signieren oder arbeite ich besser mit einem einzigen Key für
>> alle Domains.
>> Vorteil verschiedener Keys wäre die erhöhte Sicherheit untereinander
>> aber ich müsste verschiedene DNS Einträge und verschiedene Selektoren
>> pflegen.
>> Mit einem einzigen Key würde die Verwaltbarkeit für mich enorm
>> steigen. Ich könnte Mails von domaina.de und domainb.de signieren und
>> dabei im dkim hinterlegen, dass öffentlicher Schlüssel zum
>> verifizieren unter domainc.de zu finden ist. Die User der Domains
>> könnten dann zwar keine individuellen Einstellungen haben, aber ich
>> müsste alles nur in einfacher Ausführung pflegen. Was meint Ihr?
>>
>> Danke,
>> Hajo
>>
>

Reply | Threaded
Open this post in threaded view
|

Re: dkim - Aufwand vs. Nutzen

Gunther Nitzsche
In reply to this post by Hajo Locke
Hi,

On 17.07.2018 11:20, Hajo Locke wrote:
> Hallo Liste,
>
> ich plane für eine verschiedenen Domains dkim einzusetzen, die
> technischen Tests habe ich bereits absolviert.
> Mir stellt sich da aktuell eine andere Frage. Sollte ich für jede der
> Domains einen eigenen privaten Key erzeugen und Mails der Domains
> separat signieren oder arbeite ich besser mit einem einzigen Key für
> alle Domains.
> Vorteil verschiedener Keys wäre die erhöhte Sicherheit untereinander

Die Sicherheit wird dadurch kaum erhöht - nur das TrustLevel auf
Empfängerseite.

> aber ich müsste verschiedene DNS Einträge und verschiedene Selektoren
> pflegen.

Wobei der Pflege-Aufwand sich vornehmlich auf die Erst-Einrichtung
konzentriert.

> Mit einem einzigen Key würde die Verwaltbarkeit für mich enorm
> steigen. Ich könnte Mails von domaina.de und domainb.de signieren und
> dabei im dkim hinterlegen, dass öffentlicher Schlüssel zum
> verifizieren unter domainc.de zu finden ist. Die User der Domains
> könnten dann zwar keine individuellen Einstellungen haben, aber ich
> müsste alles nur in einfacher Ausführung pflegen. Was meint Ihr?

Das geht, wird aber tatsächlich von bestimmten Empfängern "schwächer"
bewertet (scoring)
als passende Einträge. 
Wird eine Domain (domaina) für Spamversand missbraucht, sinkt dadurch
der Trustlevel nicht nur von
domaina, sondern auch von domainc - und damit auch von domainb. 
Bei separaten keys wären domainb (und domainc) nicht betroffen.

Ich empfehle separate keys pro Domain.

Just my 2 cent :-)

Gruß
Gunther

>
> Danke,
> Hajo
>


NetCologne Systemadministration
--
Netcologne Gesellschaft für Telekommunikation mbH
Am Coloneum 9 ; 50829 Köln
Geschäftsführer:  
  Timo von Lepel,
  Mario Wilhelm  
Vorsitzender des Aufsichtsrates:
  Dr. Andreas Cerbe
  HRB 25580, AG Köln


Reply | Threaded
Open this post in threaded view
|

Re: dkim - Aufwand vs. Nutzen

Andreas Schulze
In reply to this post by Hajo Locke
Am 17.07.2018 um 11:20 schrieb Hajo Locke:

> Hallo Liste,
>
> ich plane für eine verschiedenen Domains dkim einzusetzen, die
> technischen Tests habe ich bereits absolviert.
> Mir stellt sich da aktuell eine andere Frage. Sollte ich für jede der
> Domains einen eigenen privaten Key erzeugen und Mails der Domains
> separat signieren oder arbeite ich besser mit einem einzigen Key für
> alle Domains.
> Vorteil verschiedener Keys wäre die erhöhte Sicherheit untereinander
> aber ich müsste verschiedene DNS Einträge und verschiedene Selektoren
> pflegen.
> Mit einem einzigen Key würde die Verwaltbarkeit für mich enorm
> steigen. Ich könnte Mails von domaina.de und domainb.de signieren und
> dabei im dkim hinterlegen, dass öffentlicher Schlüssel zum
> verifizieren unter domainc.de zu finden ist. Die User der Domains
> könnten dann zwar keine individuellen Einstellungen haben, aber ich
> müsste alles nur in einfacher Ausführung pflegen. Was meint Ihr?

ich würde dringend empfehlen, pro Domain einen eigenen DKIM-Key zu benutzen.
DKIM-Keys kosten nichts.
DKIM Keyrotation pro Domain ist z.B. entspannter Du kannst vorab mit
einer TestDomain üben.
Wenn alle Domains den gleichen Key nutzen, will ein Schlüsseltausch
vorher sehr genau geübt sein.

Ich kann Dir jetzt nicht unbedingt "das Killerargument" nennen, aber
wenigstens Empfehlen möchte ich einen Key pro Domain...

Andreas


Reply | Threaded
Open this post in threaded view
|

Re: dkim - Aufwand vs. Nutzen

Hajo Locke
In reply to this post by Gunther Nitzsche
Hallo,

Am 17.07.2018 um 16:14 schrieb Gunther Nitzsche:

> Hi,
>
> On 17.07.2018 11:20, Hajo Locke wrote:
>> Hallo Liste,
>>
>> ich plane für eine verschiedenen Domains dkim einzusetzen, die
>> technischen Tests habe ich bereits absolviert.
>> Mir stellt sich da aktuell eine andere Frage. Sollte ich für jede der
>> Domains einen eigenen privaten Key erzeugen und Mails der Domains
>> separat signieren oder arbeite ich besser mit einem einzigen Key für
>> alle Domains.
>> Vorteil verschiedener Keys wäre die erhöhte Sicherheit untereinander
> Die Sicherheit wird dadurch kaum erhöht - nur das TrustLevel auf
> Empfängerseite.
>
>> aber ich müsste verschiedene DNS Einträge und verschiedene Selektoren
>> pflegen.
> Wobei der Pflege-Aufwand sich vornehmlich auf die Erst-Einrichtung
> konzentriert.
>
>> Mit einem einzigen Key würde die Verwaltbarkeit für mich enorm
>> steigen. Ich könnte Mails von domaina.de und domainb.de signieren und
>> dabei im dkim hinterlegen, dass öffentlicher Schlüssel zum
>> verifizieren unter domainc.de zu finden ist. Die User der Domains
>> könnten dann zwar keine individuellen Einstellungen haben, aber ich
>> müsste alles nur in einfacher Ausführung pflegen. Was meint Ihr?
> Das geht, wird aber tatsächlich von bestimmten Empfängern "schwächer"
> bewertet (scoring)
> als passende Einträge.
> Wird eine Domain (domaina) für Spamversand missbraucht, sinkt dadurch
> der Trustlevel nicht nur von
> domaina, sondern auch von domainc - und damit auch von domainb.
> Bei separaten keys wären domainb (und domainc) nicht betroffen.
>
> Ich empfehle separate keys pro Domain.
Hmm, so etwas hätte ich nicht erwartet und spricht für separate Keys.
Ich werde das mal so empfehlen.

>
> Just my 2 cent :-)
>
> Gruß
> Gunther
>
>> Danke,
>> Hajo
>>
>
> NetCologne Systemadministration
Danke,
Hajo
Reply | Threaded
Open this post in threaded view
|

Re: dkim - Aufwand vs. Nutzen

Hajo Locke
In reply to this post by Andreas Schulze
Hallo,


Am 17.07.2018 um 21:40 schrieb Andreas Schulze:

> Am 17.07.2018 um 11:20 schrieb Hajo Locke:
>> Hallo Liste,
>>
>> ich plane für eine verschiedenen Domains dkim einzusetzen, die
>> technischen Tests habe ich bereits absolviert.
>> Mir stellt sich da aktuell eine andere Frage. Sollte ich für jede der
>> Domains einen eigenen privaten Key erzeugen und Mails der Domains
>> separat signieren oder arbeite ich besser mit einem einzigen Key für
>> alle Domains.
>> Vorteil verschiedener Keys wäre die erhöhte Sicherheit untereinander
>> aber ich müsste verschiedene DNS Einträge und verschiedene Selektoren
>> pflegen.
>> Mit einem einzigen Key würde die Verwaltbarkeit für mich enorm
>> steigen. Ich könnte Mails von domaina.de und domainb.de signieren und
>> dabei im dkim hinterlegen, dass öffentlicher Schlüssel zum
>> verifizieren unter domainc.de zu finden ist. Die User der Domains
>> könnten dann zwar keine individuellen Einstellungen haben, aber ich
>> müsste alles nur in einfacher Ausführung pflegen. Was meint Ihr?
>
> ich würde dringend empfehlen, pro Domain einen eigenen DKIM-Key zu
> benutzen.
> DKIM-Keys kosten nichts.
> DKIM Keyrotation pro Domain ist z.B. entspannter Du kannst vorab mit
> einer TestDomain üben.
Danke, ich werde auch wegen Gunthers Antwort separate Keys für die
Domains empfehlen, die Programmierer sind bereits informiert.
Schlüsseltausch sehe ich gar nicht so kritisch, eventuell hab ich ja was
übersehen.
Ich erzeuge einen neuen Key und einen neuen Separator im DNS für den
öffentlichen Bestandteil. Die neuen Daten veröffentliche ich im DNS, den
alten Separator kann ich dabei ja bestehen lassen. Nach ein paar Stunden
verwende ich den neuen privaten Schlüssel für opendkim und dieser
signiert nun damit. Eingehende Mails sollten dann wieder vollständig
prüfbar sein. Nach Zeit x kann ich dann den alten Separator irgendwann
man entfernen.
Das müsste es doch gewesen sein?

> Wenn alle Domains den gleichen Key nutzen, will ein Schlüsseltausch
> vorher sehr genau geübt sein.
>
> Ich kann Dir jetzt nicht unbedingt "das Killerargument" nennen, aber
> wenigstens Empfehlen möchte ich einen Key pro Domain...
>
> Andreas
>
>
>
Danke,
Hajo

Reply | Threaded
Open this post in threaded view
|

Re: dkim - Aufwand vs. Nutzen

Andreas Schulze
Am 18.07.2018 um 16:16 schrieb Hajo Locke:
> Schlüsseltausch sehe ich gar nicht so kritisch, eventuell hab ich ja was übersehen.

https://www.m3aawg.org/documents/en/m3aawg-dkim-key-rotation-best-common-practices
bestätigt im wesentlichen Deinen Plan :-)

--
A. Schulze
DATEV eG