ESA - Sustitución de la clave DKIM existente sin tiempo de inactividad

Opciones de descarga

  • PDF     (259.5 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (84.5 KB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (71.0 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:6 de noviembre de 2018
ID del documento:213941

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

Introducción

Este documento describe cómo reemplazar la clave de firma DKIM existente en un ESA y la clave pública DKIM en DNS sin tiempo de inactividad.

Requirements

  1. Acceso al dispositivo de seguridad Email Security Appliance (ESA).
  2. Acceso a DNS para agregar o quitar registros TXT.
  3. El ESA ya debe estar firmando mensajes con un perfil DKIM.

Crear una nueva clave de firma DKIM

Primero deberá crear una nueva clave de firma DKIM en el ESA:

  1. Vaya a Políticas de correo > Llaves de firma y seleccione "Agregar clave..."
  2. Asigne un nombre a la clave DKIM y genere una nueva clave privada o pegue una existente.

    Nota: En la mayoría de los casos, se recomienda que elija un tamaño de clave privada de 2048 bits.

  3. Realice los cambios.

    Nota: este cambio no afectará a la firma DKIM ni al flujo de correo. Solo estamos agregando una clave de firma DKIM y aún no la estamos aplicando a ningún perfil de firma DKIM.

Generar un nuevo perfil de firma DKIM y publicar el registro DNS en DNS

A continuación, tendrá que crear un nuevo perfil de firmas DKIM, generar un registro DNS DKIM a partir de ese perfil de firmas DKIM y publicar ese registro en DNS:

  1. Vaya a Políticas de correo > Perfiles de firma y haga clic en "Agregar perfil..."
    1. Dé un nombre descriptivo al perfil en el campo "Nombre del perfil".
    2. Introduzca su dominio en el campo "Domain Name" (Nombre de dominio).
    3. Introduzca una nueva cadena de selección en el campo "Selector".

      Nota: El selector es una cadena arbitraria que se utiliza para permitir varios registros DNS DKIM para un dominio determinado. Utilizaremos el selector para permitir más de un registro DNS DKIM en DNS para su dominio. Es importante utilizar un nuevo selector que sea diferente del perfil de firmas DKIM existente.

    4. Seleccione la clave de firma DKIM creada en la sección anterior en el campo "Llave de firma".
    5. En la parte inferior del perfil de firmas, agregue un nuevo "Usuario". Este usuario debe ser una dirección de correo electrónico de marcador de posición no utilizada.

      Precaución: es importante que agregue una dirección de correo electrónico no utilizada como usuario para este perfil de firmas. De lo contrario, este perfil podría firmar mensajes salientes antes de que se publique el registro DKIM TXT, lo que provocaría un error en la verificación DKIM. Agregar una dirección de correo electrónico no utilizada como usuario garantiza que este perfil de firma no firme ningún mensaje saliente.

    6. Haga clic en Submit (Enviar).
  2. Desde aquí, haga clic en "Generar" en la columna "Registro de texto DNS" para el perfil de firma que acaba de crear y copie el registro DNS que se ha generado. Debe tener un aspecto similar al siguiente:
    selector2._domainkey.example.com. IN TXT "v=DKIM1; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAwMaX6wMAk4iQoLNWiEkj0BrIRMDHXQ7743OQUOYZQqEXSs+jMGomOknAZJpjR8TwmYHVPbD+30QRw0qEiRY3hYcmKOCWZ/hTo+NQ8qj1CSc1LTMdV0HWAi2AGsVOT8BdFHkyxg40oyGWgktzc1q7zIgWM8usHfKVWFzYgnattNzyEqHsfI7lGilz5gdHBOvmF8LrDSfN" "KtGrTtvIxJM8pWeJm6pg6TM/cy0FypS2azkrl9riJcWWDvu38JXFL/eeYjGnB1zQeR5Pnbc3sVJd3cGaWx1bWjepyNQZ1PrS6Zwr7ZxSRa316Oxc36uCid5JAq0z+IcH4KkHqUueSGuGhwIDAQAB;"
  3. Realice los cambios.
  4. Envíe el registro DKIM DNS TXT del paso 2 a DNS.
  5. Espere hasta que el registro DKIM DNS TXT se haya propagado completamente.

Elimine el perfil de firma antiguo y elimine el usuario marcador de posición del nuevo perfil de firma

Una vez que el registro DKIM TXT se ha enviado a DNS y se ha asegurado de que se ha propagado, el siguiente paso será eliminar el perfil de firmas antiguo y eliminar el usuario marcador de posición del nuevo perfil de firmas:

Nota: Se recomienda encarecidamente que realice una copia de seguridad del archivo de configuración de ESA antes de continuar con los siguientes pasos. Esto se debe a que si elimina el perfil de firmas DKIM antiguo y necesita volver a la configuración anterior, podrá cargar fácilmente el archivo de configuración de la copia de seguridad.

  1. Vaya a Políticas de correo > Perfiles de firma, seleccione el perfil de firma DKIM antiguo y haga clic en "Eliminar".
  2. Vaya al nuevo perfil de firmas DKIM, seleccione el usuario del marcador de posición actual y haga clic en "Quitar".
  3. Haga clic en "Enviar".
  4. En la columna "Perfil de prueba", haga clic en "Probar" para el nuevo perfil de firmas DKIM. Si la prueba es correcta, continúe con el paso siguiente. Si no es así, confirme que el registro DKIM DNS TXT se ha propagado completamente.
  5. Realice los cambios realizados.

Probar flujo de correo para confirmar pasadas de DKIM

Llegados a este punto, habrá terminado de configurar DKIM. Sin embargo, debe probar la firma de DKIM para asegurarse de que está firmando los mensajes salientes como se esperaba y pasando la verificación DKIM:

  1. Enviar un mensaje a través del ESA asegurándose de que obtiene DKIM firmado por el ESA y DKIM verificado por otro host.
  2. Una vez que el mensaje se recibe en el otro extremo, verifique los encabezados del mensaje para el encabezado "Authentication-Results". Busque la sección DKIM del encabezado para confirmar si pasó o no la verificación DKIM. El encabezado debe tener un aspecto similar al siguiente: 
    Authentication-Results: mx1.example.net; spf=SoftFail smtp.mailfrom=user1@example.net;
dkim=pass header.i=none; dmarc=fail (p=none dis=none) d=example.net
  3. Busque el encabezado "DKIM-Signature" y confirme que se están utilizando el selector y el dominio correctos:
    DKIM-Signature: a=rsa-sha256; d=example.net; s=selector2;
       c=simple; q=dns/txt; i=@example.net;
       t=1117574938; x=1118006938;
       h=from:to:subject:date;
       bh=MTIzNDU2Nzg5MDEyMzQ1Njc4OTAxMjM0NTY3ODkwMTI=;
       b=dzdVyOfAKCdLXdJOc9G2q8LoXSlEniSbav+yuU4zGeeruD00lszZ
                VoG4ZHRNiYzR
  4. Una vez que esté convencido de que DKIM funciona correctamente, espere al menos una semana antes de eliminar el registro DKIM TXT antiguo. Esto garantiza que todos los mensajes firmados por la clave DKIM antigua se han procesado.

Historial de revisiones

Revisión Fecha de publicación Comentarios
1.0
29-Nov-2018
Versión inicial
TAC Authored

Con la colaboración de ingenieros de Cisco

  • Jordan Andrews
    Cisco Technical Support Engineer

¿Resultó útil este documento?

FeedbackComentarios

Contacte a Cisco

Este documento se aplica a estos productos