ESA - Substitua a chave DKIM existente sem tempo de inatividade

Opções de download

  • PDF     (260.5 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (83.9 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (70.5 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:6 de novembro de 2018
ID do documento:213941

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

Introdução

Este documento descreve como substituir a chave de assinatura DKIM existente em uma chave pública ESA e DKIM no DNS sem tempo de inatividade.

Requisitos

  1. Acesso ao ESA (Email Security Appliance, dispositivo de segurança de e-mail).
  2. Acesso ao DNS para adicionar/remover registros TXT.
  3. O ESA já deve estar assinando mensagens com um perfil DKIM.

Criar uma nova chave de assinatura DKIM

Primeiro, você precisará criar uma nova chave de assinatura DKIM no ESA:

  1. Vá para Políticas de e-mail > Chaves de assinatura e selecione "Adicionar chave..."
  2. Nomeie a chave DKIM e gere uma nova chave privada ou cole em uma chave existente.

    Observação: na maioria dos casos, é recomendável escolher um tamanho de chave privada de 2048 bits.

  3. Confirme as alterações.

    Observação: esta alteração não afetará a assinatura DKIM ou o fluxo de email. Estamos apenas adicionando uma chave de assinatura DKIM e não a aplicando a nenhum perfil de assinatura DKIM ainda.

Gerar um novo perfil de assinatura DKIM e publicar o registro DNS no DNS

Em seguida, você precisará criar um novo perfil de assinatura DKIM, gerar um registro DNS DKIM a partir desse perfil de assinatura DKIM e publicar esse registro no DNS:

  1. Vá para Políticas de e-mail > Perfis de assinatura e clique em "Adicionar perfil..."
    1. Dê ao perfil um nome descritivo no campo "Nome do perfil".
    2. Digite seu domínio no campo "Nome do domínio".
    3. Digite uma nova string do seletor no campo "Seletor".

      Note: O seletor é uma sequência arbitrária usada para permitir vários registros DNS DKIM para um determinado domínio. Usaremos o seletor para permitir mais de um registro DNS DKIM no DNS para o seu domínio. É importante usar um novo seletor que seja diferente do perfil de assinatura DKIM já existente.

    4. Selecione a chave de assinatura DKIM criada na seção anterior no campo "Signing Key".
    5. Na parte inferior do perfil de assinatura, adicione um novo "Usuário". Este usuário deve ser um endereço de e-mail de espaço reservado não utilizado.

      Cuidado: é importante que você adicione um endereço de e-mail não utilizado como um usuário para este perfil de assinatura. Caso contrário, esse perfil poderá assinar mensagens de saída antes que o registro DKIM TXT seja publicado, causando falha na verificação DKIM. Adicionar um endereço de email não utilizado como usuário garante que esse perfil de assinatura não assine nenhuma mensagem de saída.

    6. Clique em Submit.
  2. A partir daqui, clique em "Gerar" na coluna "Registro de texto DNS" para o perfil de assinatura que você acabou de criar e copie o registro DNS que é gerado. Ele deve ser semelhante ao seguinte:
    selector2._domainkey.example.com. IN TXT "v=DKIM1; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAwMaX6wMAk4iQoLNWiEkj0BrIRMDHXQ7743OQUOYZQqEXSs+jMGomOknAZJpjR8TwmYHVPbD+30QRw0qEiRY3hYcmKOCWZ/hTo+NQ8qj1CSc1LTMdV0HWAi2AGsVOT8BdFHkyxg40oyGWgktzc1q7zIgWM8usHfKVWFzYgnattNzyEqHsfI7lGilz5gdHBOvmF8LrDSfN" "KtGrTtvIxJM8pWeJm6pg6TM/cy0FypS2azkrl9riJcWWDvu38JXFL/eeYjGnB1zQeR5Pnbc3sVJd3cGaWx1bWjepyNQZ1PrS6Zwr7ZxSRa316Oxc36uCid5JAq0z+IcH4KkHqUueSGuGhwIDAQAB;"
  3. Confirme as alterações.
  4. Envie o registro TXT DNS DKIM na etapa 2 para o DNS.
  5. Aguarde até que o registro DKIM DNS TXT seja totalmente propagado.

Excluir o perfil de assinatura antigo e remover o usuário de espaço reservado do novo perfil de assinatura

Depois que o registro DKIM TXT tiver sido enviado ao DNS e você tiver assegurado que ele foi propagado, a próxima etapa será excluir o perfil de assinatura antigo e remover o usuário de espaço reservado do novo perfil de assinatura:

Note: É altamente recomendável que você faça backup do arquivo de configuração do ESA antes de prosseguir com as seguintes etapas. Isso ocorre porque, se você excluir o perfil de assinatura DKIM antigo e houver necessidade de reverter para a configuração anterior, poderá carregar facilmente o arquivo de configuração de backup.

  1. Vá para Políticas de e-mail > Perfis de assinatura, selecione o perfil de assinatura DKIM antigo e clique em "Excluir".
  2. Vá para o novo perfil de assinatura DKIM, selecione o usuário do espaço reservado atual e clique em "Remover".
  3. Clique em "Enviar".
  4. Na coluna "Testar perfil", clique em "Testar" para o novo perfil de assinatura DKIM. Se o teste for bem-sucedido, continue com a próxima etapa. Caso contrário, confirme se o registro DKIM DNS TXT foi totalmente propagado.
  5. Confirme as alterações feitas.

Testar o fluxo de e-mail para confirmar a aprovação do DKIM

Neste ponto, você já terminou a configuração do DKIM. No entanto, você deve testar a assinatura DKIM para garantir que ela esteja assinando suas mensagens de saída como esperado e passando na verificação DKIM:

  1. Envie uma mensagem através do ESA, garantindo que ele assine o DKIM pelo ESA e o DKIM seja verificado por outro host.
  2. Quando a mensagem for recebida na outra extremidade, verifique os cabeçalhos da mensagem para o cabeçalho "Authentication-Results" (Resultados de autenticação). Procure a seção DKIM do cabeçalho para confirmar se ela passou na verificação DKIM ou não. O cabeçalho deve ser semelhante ao seguinte: 
    Authentication-Results: mx1.example.net; spf=SoftFail smtp.mailfrom=user1@example.net;
dkim=pass header.i=none; dmarc=fail (p=none dis=none) d=example.net
  3. Procure o cabeçalho "DKIM-Signature" e confirme se o seletor e o domínio corretos estão sendo usados:
    DKIM-Signature: a=rsa-sha256; d=example.net; s=selector2;
       c=simple; q=dns/txt; i=@example.net;
       t=1117574938; x=1118006938;
       h=from:to:subject:date;
       bh=MTIzNDU2Nzg5MDEyMzQ1Njc4OTAxMjM0NTY3ODkwMTI=;
       b=dzdVyOfAKCdLXdJOc9G2q8LoXSlEniSbav+yuU4zGeeruD00lszZ
                VoG4ZHRNiYzR
  4. Quando estiver satisfeito com o funcionamento do DKIM, aguarde pelo menos uma semana antes de remover o registro antigo de DKIM TXT. Isso garante que todas as mensagens assinadas pela chave DKIM antiga tenham sido processadas.

Histórico de revisões

Revisão Data de publicação Comentários
1.0
29-Nov-2018
Versão inicial
TAC Authored

Colaborado por engenheiros da Cisco

  • Jordan Andrews
    Engenheiro de suporte técnico da Cisco

Este documento lhe foi útil?

FeedbackFeedback

Contate a Cisco

Este documento se refere a estes produtos