Появилась задачка настроить DKIM Exchange 2013 для подписи писем.
Изначально он не умеет, но при помощи дополнительного транспортного агента это можно сделать, делается это таким образом.
Настройка Exchange
Скачиваем агент тут – Exchange DKIM Signer – Configuration.DkimSigner.zip
Переносим его на сервер, отвечающий за отправку почты, т.е. на MDB сервер в моем случае.
Запускаем из архива Configuration.DkimSigner.exe.
Напротив Availble – Нажимаем Install. Важно, для автоматической закачки серверу нужно временно дать доступ по https к github, либо же скачать самостоятельно архив с DKIM и подсунуть ему при установке.
Так же важно !!!Во время установки будет перезагружена служба транспорта!!!, так что не стоит делать это на боевом сервере в разгар рабочего дня, почта упадет. Я делал проще, уносил БД на другие мои MDB сервера и спокойно устанавливал.
После установки следует проверить что агент Dkim находится в самом низу и обрабатывает наши письма последним, это можно посмотреть в Configure.
После этого заходим во вкладку “Domain Settings” и вносим наш первый домен, consto.com, селектор пишем mail (вообще нет разницы какой будет селектор хоть Iamyourfather, главное чтобы потом это совпало с записью в DNS.
Длину ключа выбираем по желанию, но есть загвоздка что если вы выберете длину 2048 то ключ получится слишком длинным и не будет влезать в TXT запись, и вам придется бодаться со своим DNS хостером чтоб он научил понимать разделенные TXT записи.
И нажимаем Generate new key.
После того как ключи сгенерированы, установку продолжаем на остальных серверах MDB.
После установки в Domain Settings так же создаем домены, но ключи уже не генерируем а выбираем скопированные с первого сервера файлы consto.com.pem и consto.com.pem.pub
После установки на всех серверах, настройку DKIM на Exchange можно считать законченой, вы великолепны.
Настройка DNS
Теперь в публичном DNS нужно настроить следующие записи:
Policy запись – “_domainkey.consto.com”
Это TXT запись, в ней прописывается политика обработки ваших писем, значения в ней могут быть такими:
o=~;
~ (некоторые электронные письма, подписанные)
– (все письма подписаны)
! (Все подписано, нет подписи 3ей стороны)
. (Не отправляются письма)
t=y;
t флаги: n (не тестирование), s (без поддоменов), y (тестовый режим)
n заметки (human readable)
r: отчетность адрес электронной почты (куда сообщать неправильные результаты)
К примеру “_domainkey.consto.com” TXT “t=s; o=~;” что значит некоторые письма будут подписаны и подпись не распространяется на поддомены.
Основная запись ради которой все затевалось.
mail._domainkey.consto.com. TXT “v=DKIM1; k=rsa; p=тут публичный ключ”
Или же Iamyourfather._domainkey.consto.com. TXT “v=DKIM1; k=rsa; p=тут публичный ключ” если вы указали в селекторе Iamyourfather вместо mail.
Сама программа вам помогает и выдает запись которую нужно добавить в DNS
ADSP запись
Тут все просто, очередная запись политики.
Звучит она так: _adsp._domainkey.consto.com TXT “dkim=all”
Значений dkim= может быть три:
all — Все письма должны быть подписаны
discardable — Не подписанные письма не должны приниматься
unknown — Аналогично отсутствию записи