ESA - إستبدال مفتاح DKIM الحالي دون التوقف عن العمل

المقدمة

يوضح هذا المستند كيفية إستبدال مفتاح توقيع DKIM الموجود على مفتاح ESA ومفتاح DKIM العام في DNS دون وقت توقف عن العمل.

المتطلبات

1. الوصول إلى جهاز أمان البريد الإلكتروني (ESA).
2. الوصول إلى DNS لإضافة/إزالة سجلات TXT.
3. يجب أن يقوم ESA بالفعل بتوقيع رسائل باستخدام ملف تعريف DKIM.

إنشاء مفتاح توقيع DKIM جديد

ستحتاج أولا إلى إنشاء مفتاح توقيع DKIM جديد على ESA:

1. انتقل إلى نهج البريد > مفاتيح التوقيع وحدد "إضافة مفتاح..."
2. قم بتسمية مفتاح DKIM وقم بإنشاء مفتاح خاص جديد أو الصق في مفتاح موجود.

   ملاحظة: في معظم الحالات، يوصى باختيار حجم مفتاح خاص 2048 بت.

3. قم بتنفيذ التغييرات.
   

   ملاحظة: لن يؤثر هذا التغيير على توقيع DKIM أو تدفق البريد. نحن فقط نضيف مفتاح توقيع DKIM ولا نطبقه على أي ملف تعريف توقيع DKIM حتى الآن.

إنشاء ملف تعريف توقيع DKIM جديد ونشر سجل DNS إلى DNS

بعد ذلك، ستحتاج إلى إنشاء ملف تعريف توقيع DKIM جديد، وإنشاء سجل DKIM DNS من ملف تعريف توقيع DKIM هذا ونشر هذا السجل إلى DNS:

1. انتقل إلى نهج البريد > توقيع ملفات التعريف وانقر فوق "إضافة ملف تعريف.."
   1. امنح التوصيف اسما وصفيا في الحقل "اسم ملف التعريف".
   2. أدخل مجالك في الحقل "اسم المجال".
   3. أدخل سلسلة محدد جديدة في الحقل "محدد".
      

      ملاحظة: المحدد عبارة عن سلسلة عشوائية يتم إستخدامها للسماح بسجلات DKIM DNS متعددة لمجال معين. سنستخدم المحدد للسماح بأكثر من سجل DKIM DNS واحد في DNS للمجال الخاص بك. من المهم إستخدام محدد جديد يختلف عن ملف تعريف توقيع DKIM الموجود بالفعل.
      

   4. حدد مفتاح توقيع DKIM الذي تم إنشاؤه في القسم السابق في الحقل "مفتاح التوقيع".
   5. في أسفل ملف تخصيص التوقيع، قم بإضافة "مستخدم" جديد. يجب أن يكون هذا المستخدم عنوان بريد إلكتروني لموضع مؤقت غير مستخدم.

      تحذير: من المهم إضافة عنوان بريد إلكتروني غير مستخدم كمستخدم لملف تعريف التوقيع هذا. وإلا، قد يقوم ملف التعريف هذا بتوقيع الرسائل الصادرة قبل نشر سجل DKIM TXT مما يؤدي إلى فشل التحقق من DKIM. تضمن إضافة عنوان بريد إلكتروني غير مستخدم كمستخدم عدم توقيع ملف تعريف التوقيع هذا على أي رسائل صادرة.

   6. انقر فوق إرسال.
2. من هنا، انقر فوق "إنشاء" في العمود "سجل DNS النصي" لملف تعريف التوقيع الذي قمت بإنشائه للتو وانسخ سجل DNS الذي تم إنشاؤه. يجب أن تبدو مشابهة لما يلي:
   

   selector2._domainkey.example.com. IN TXT "v=DKIM1; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAwMaX6wMAk4iQoLNWiEkj0BrIRMDHXQ7743OQUOYZQqEXSs+jMGomOknAZJpjR8TwmYHVPbD+30QRw0qEiRY3hYcmKOCWZ/hTo+NQ8qj1CSc1LTMdV0HWAi2AGsVOT8BdFHkyxg40oyGWgktzc1q7zIgWM8usHfKVWFzYgnattNzyEqHsfI7lGilz5gdHBOvmF8LrDSfN" "KtGrTtvIxJM8pWeJm6pg6TM/cy0FypS2azkrl9riJcWWDvu38JXFL/eeYjGnB1zQeR5Pnbc3sVJd3cGaWx1bWjepyNQZ1PrS6Zwr7ZxSRa316Oxc36uCid5JAq0z+IcH4KkHqUueSGuGhwIDAQAB;"

3. قم بتنفيذ التغييرات.
4. إرسال سجل DKIM DNS TXT في الخطوة 2 إلى DNS.
5. انتظر حتى يتم نشر سجل DKIM DNS TXT بالكامل.

حذف ملف تخصيص التوقيع القديم وإزالة الموضع المؤقت للمستخدم من ملف تخصيص التوقيع الجديد

بمجرد إرسال سجل DKIM TXT إلى DNS والتأكد من نشره، ستكون الخطوة التالية هي حذف ملف تعريف التوقيع القديم وإزالة العنصر النائب للمستخدم من ملف تعريف التوقيع الجديد:

ملاحظة: يوصى بشدة بإجراء نسخ إحتياطي لملف تكوين ESA قبل المتابعة بالخطوات التالية. وذلك لأنك إذا قمت بحذف ملف تعريف توقيع DKIM القديم وكانت هناك حاجة للعودة إلى التكوين السابق، ستتمكن من تحميل ملف التكوين الذي تم نسخه إحتياطيا بسهولة.

1. انتقل إلى نهج البريد > ملفات التعريف الموقعة، حدد ملف تعريف توقيع DKIM القديم وانقر فوق "حذف".
2. انتقل إلى ملف تعريف توقيع DKIM الجديد، وحدد مستخدم المواضع المؤقتة الحالي وانقر فوق "إزالة".
3. انقر فوق "إرسال".
4. تحت عمود "إختبار ملف التعريف" انقر فوق "إختبار" لملف تعريف توقيع DKIM الجديد. إذا نجح الاختبار، فتابع إلى الخطوة التالية. وإذا لم تكن هناك مساحة، فأكد أنه تم نشر سجل DKIM DNS TXT بالكامل.
5. قم بتنفيذ التغييرات التي تم إجراؤها.

إختبار تدفق البريد لتأكيد عمليات مرور DKIM

عند هذه النقطة، يتم الانتهاء من تكوين DKIM بعد ذلك. ومع ذلك، يجب إختبار توقيع DKIM للتأكد من توقيع الرسائل الصادرة كما هو متوقع وتمرير التحقق من DKIM:

1. إرسال رسالة من خلال ESA لضمان الحصول على توقيع DKIM من قبل ESA و DKIM من قبل مضيف آخر.
2. بمجرد إستلام الرسالة على الطرف الآخر، تحقق من رؤوس الرسالة بحثا عن الرأس "نتائج المصادقة". ابحث عن قسم DKIM في الرأس لتأكيد ما إذا كان قد اجتاز التحقق من DKIM أم لا. يجب أن يبدو الرأس مماثلا لما يلي:

   Authentication-Results: mx1.example.net; spf=SoftFail smtp.mailfrom=user1@example.net;
   dkim=pass header.i=none; dmarc=fail (p=none dis=none) d=example.net

3. ابحث عن الرأس "DKIM-Signature" وتأكد من إستخدام المحدد والمجال الصحيحين:
   

   DKIM-Signature: a=rsa-sha256; d=example.net; s=selector2;
      c=simple; q=dns/txt; i=@example.net;
      t=1117574938; x=1118006938;
      h=from:to:subject:date;
      bh=MTIzNDU2Nzg5MDEyMzQ1Njc4OTAxMjM0NTY3ODkwMTI=;
      b=dzdVyOfAKCdLXdJOc9G2q8LoXSlEniSbav+yuU4zGeeruD00lszZ
               VoG4ZHRNiYzR

4. بمجرد الاطمئنان على أن DKIM يعمل كما هو متوقع، انتظر أسبوعا واحدا على الأقل قبل إزالة سجل DKIM TXT القديم. وهذا يضمن معالجة جميع الرسائل الموقعة بواسطة مفتاح DKIM القديم.