postfix - dkim - praxisfragen

Previous Topic Next Topic
 
classic Classic list List threaded Threaded
6 messages Options
Reply | Threaded
Open this post in threaded view
|

postfix - dkim - praxisfragen

Hajo Locke
Hallo Liste,

ich möchte dkim bei meinen Mailservern anbieten. Ich habe so weit einen Testbetrieb aufgebaut, welcher funktioniert.
Ich habe an die erfahrenen dkim Leute ein paar Praxisfragen, um für den Einsatz gerüstet zu sein.

- Wie oft wechselt Ihr die Schlüssel? ich hatte so 6 Monate bei 2048er Schlüssellänge angepeilt . Ist das ausreichend oder lasst Ihr längere Pausen?

- Verwendet Ihr "subdomains yes" in der opendkim.conf bzw. --subdomains bei opendkim-genkey? Aus meiner Sicht ist ein Key für Domain/Subdomains ausreichend und muss nicht weiter aufgeteilt werden.

- Muss man Lastprobleme erwarten? Unter Umständen versendet ein Kunde Newsletter mit tausenden Empfängern die dann alle signiert würden. Ist dkim da übermäßig cpu hungrig?

Danke für die Beantwortung,
Hajo


Reply | Threaded
Open this post in threaded view
|

Re: postfix - dkim - praxisfragen

Andreas Schulze
Am 23.10.2017 um 14:42 schrieb Hajo Locke:
> - Wie oft wechselt Ihr die Schlüssel? ich hatte so 6 Monate bei 2048er Schlüssellänge angepeilt . Ist das ausreichend oder lasst Ihr längere Pausen?
https://www.m3aawg.org/documents/en/m3aawg-dkim-key-rotation-best-common-practices

praktisch rotieren die wenigsten Versender vollautomatisch. 3-6 Monate wäre für mich aber auch ein guter Zeitraum.
Wichtiger ist die Schlüselgröße. Da greife ich auch gern zu 2048 Bit nicht mehr aber auch nicht weniger ...

> - Verwendet Ihr "subdomains yes" in der opendkim.conf bzw. --subdomains bei opendkim-genkey? Aus meiner Sicht ist ein Key für Domain/Subdomains ausreichend und muss nicht weiter aufgeteilt werden.
persönlicher Geschmack / hängt von der Anforderung ab. Ich habe kein Bedarf dafür. Subdomain signiere ich separat mit einem passenden Schlüssel.

> - Muss man Lastprobleme erwarten? Unter Umständen versendet ein Kunde Newsletter mit tausenden Empfängern die dann alle signiert würden. Ist dkim da übermäßig cpu hungrig?
nein, Wenn Dein Server Luft hat, plötzlich ein Vielfaches an E-Mails zu verarbeiten, dann kann er auch ganz locker DKIM-Signaturen erzeugen, ohne zu explodieren.



--
A. Schulze
DATEV eG
Reply | Threaded
Open this post in threaded view
|

Re: postfix - dkim - praxisfragen

Andreas Pothe-2


Am 24.10.2017 um 09:32 schrieb Andreas Schulze:
> Am 23.10.2017 um 14:42 schrieb Hajo Locke:
>> - Wie oft wechselt Ihr die Schlüssel? ich hatte so 6 Monate bei 2048er Schlüssellänge angepeilt . Ist das ausreichend oder lasst Ihr längere Pausen?
> https://www.m3aawg.org/documents/en/m3aawg-dkim-key-rotation-best-common-practices
>
> praktisch rotieren die wenigsten Versender vollautomatisch. 3-6 Monate wäre für mich aber auch ein guter Zeitraum.
> Wichtiger ist die Schlüselgröße. Da greife ich auch gern zu 2048 Bit nicht mehr aber auch nicht weniger ...
>
Ich selber habe es nicht überprüft, aber irgendwo las ich mal, dass
selbst große Provider nur sehr selten bis gar nicht ihre Schlüssel
wechseln. Ich glaube es war Google, die angeblich seit Jahren keinen
Wechsel vorgenommen haben sollen.
(wie gesagt: Nicht überprüft)

Ich für mich selbst habe noch nicht überlegt, wie oft ich neue Schlüssel
erzeugen werde. Allerdings denke ich, dass es mehr als ein- bis zweimal
im Jahr sein wird.

CU
Andreas
Reply | Threaded
Open this post in threaded view
|

Re: postfix - dkim - praxisfragen

Andreas Pothe-2


Am 27.10.2017 um 07:37 schrieb Andreas Pothe:
>
> Ich für mich selbst habe noch nicht überlegt, wie oft ich neue Schlüssel
> erzeugen werde. Allerdings denke ich, dass es mehr als ein- bis zweimal
> im Jahr sein wird.
>
>
NICHT mehr als ein- bis zweimal.
Reply | Threaded
Open this post in threaded view
|

Re: postfix - dkim - praxisfragen

Hajo Locke
In reply to this post by Andreas Schulze
Hallo,

danke für deine Antworten. Ich habe einiges probiert und denke ich bin
gerüstet. Auch Massenmails erzeugen keine signifikante Mehrlast.
Nur eine letzte Frage. Welchen Wert empfiehlst du für Canonicalization
in der opendkim.conf?
Oft lese ich von relaxed/simple, aber wäre ein relaxex/relaxed zur
Fehlervermeidung nicht besser?
Woher weiß eigentlich der empfangende Server beim Vergleich, welchen
Algorithmus ich beim hashen verwendet habe? Oder hashed er zwei mal, um
beide Möglichkeiten prüfen zu können?

Danke,
Hajo

Am 24.10.2017 um 09:32 schrieb Andreas Schulze:

> Am 23.10.2017 um 14:42 schrieb Hajo Locke:
>> - Wie oft wechselt Ihr die Schlüssel? ich hatte so 6 Monate bei 2048er Schlüssellänge angepeilt . Ist das ausreichend oder lasst Ihr längere Pausen?
> https://www.m3aawg.org/documents/en/m3aawg-dkim-key-rotation-best-common-practices
>
> praktisch rotieren die wenigsten Versender vollautomatisch. 3-6 Monate wäre für mich aber auch ein guter Zeitraum.
> Wichtiger ist die Schlüselgröße. Da greife ich auch gern zu 2048 Bit nicht mehr aber auch nicht weniger ...
>
>> - Verwendet Ihr "subdomains yes" in der opendkim.conf bzw. --subdomains bei opendkim-genkey? Aus meiner Sicht ist ein Key für Domain/Subdomains ausreichend und muss nicht weiter aufgeteilt werden.
> persönlicher Geschmack / hängt von der Anforderung ab. Ich habe kein Bedarf dafür. Subdomain signiere ich separat mit einem passenden Schlüssel.
>
>> - Muss man Lastprobleme erwarten? Unter Umständen versendet ein Kunde Newsletter mit tausenden Empfängern die dann alle signiert würden. Ist dkim da übermäßig cpu hungrig?
> nein, Wenn Dein Server Luft hat, plötzlich ein Vielfaches an E-Mails zu verarbeiten, dann kann er auch ganz locker DKIM-Signaturen erzeugen, ohne zu explodieren.
>
>
>

Reply | Threaded
Open this post in threaded view
|

Re: postfix - dkim - praxisfragen

Hajo Locke

Am 30.10.2017 um 11:22 schrieb Hajo Locke:

> Hallo,
>
> danke für deine Antworten. Ich habe einiges probiert und denke ich bin
> gerüstet. Auch Massenmails erzeugen keine signifikante Mehrlast.
> Nur eine letzte Frage. Welchen Wert empfiehlst du für Canonicalization
> in der opendkim.conf?
> Oft lese ich von relaxed/simple, aber wäre ein relaxex/relaxed zur
> Fehlervermeidung nicht besser?
> Woher weiß eigentlich der empfangende Server beim Vergleich, welchen
> Algorithmus ich beim hashen verwendet habe? Oder hashed er zwei mal,
> um beide Möglichkeiten prüfen zu können?
ahh, steht natürlich im Header der eingegangenen Mail, klar...

>
> Danke,
> Hajo
>
> Am 24.10.2017 um 09:32 schrieb Andreas Schulze:
>> Am 23.10.2017 um 14:42 schrieb Hajo Locke:
>>> - Wie oft wechselt Ihr die Schlüssel? ich hatte so 6 Monate bei
>>> 2048er Schlüssellänge angepeilt . Ist das ausreichend oder lasst Ihr
>>> längere Pausen?
>> https://www.m3aawg.org/documents/en/m3aawg-dkim-key-rotation-best-common-practices 
>>
>>
>> praktisch rotieren die wenigsten Versender vollautomatisch. 3-6
>> Monate wäre für mich aber auch ein guter Zeitraum.
>> Wichtiger ist die Schlüselgröße. Da greife ich auch gern zu 2048 Bit
>> nicht mehr aber auch nicht weniger ...
>>
>>> - Verwendet Ihr "subdomains yes" in der opendkim.conf bzw.
>>> --subdomains bei opendkim-genkey? Aus meiner Sicht ist ein Key für
>>> Domain/Subdomains ausreichend und muss nicht weiter aufgeteilt werden.
>> persönlicher Geschmack / hängt von der Anforderung ab. Ich habe kein
>> Bedarf dafür. Subdomain signiere ich separat mit einem passenden
>> Schlüssel.
>>
>>> - Muss man Lastprobleme erwarten? Unter Umständen versendet ein
>>> Kunde Newsletter mit tausenden Empfängern die dann alle signiert
>>> würden. Ist dkim da übermäßig cpu hungrig?
>> nein, Wenn Dein Server Luft hat, plötzlich ein Vielfaches an E-Mails
>> zu verarbeiten, dann kann er auch ganz locker DKIM-Signaturen
>> erzeugen, ohne zu explodieren.
>>
>>
>>
>
>