ESA -更换现有DKIM密钥，无需停机

简介

本文档介绍如何在不停机的情况下更换ESA上的现有DKIM签名密钥和DNS中的DKIM公钥。

要求

1. 访问邮件安全设备(ESA)。
2. 访问DNS以添加/删除TXT记录。
3. ESA必须已使用DKIM配置文件对邮件签名。

创建新的DKIM签名密钥

您首先需要在ESA上创建新的DKIM签名密钥：

1. 依次转到邮件策略(Mail Policies) >签名密钥(Signing Keys)，然后选择“添加密钥……”(Add Key...)。
2. 为DKIM密钥命名，并生成新私钥或粘贴现有私钥。

   注意：在大多数情况下，建议您选择2048位的私钥大小。

3. 确认更改。
   

   注意：此更改不会影响DKIM签名或邮件流。我们仅添加DKIM签名密钥，尚未将其应用于任何DKIM签名配置文件。

生成新的DKIM签名配置文件并将DNS记录发布到DNS

接下来，您需要创建一个新的DKIM签名配置文件，从该DKIM签名配置文件生成一个DKIM DNS记录，并将该记录发布到DNS：

1. 依次转到邮件策略(Mail Policies) >签名配置文件(Signing Profiles)，然后点击添加配置文件(Add Profile...)。
   1. 在“Profile Name”字段中为配置文件指定描述性名称。
   2. 在“域名”字段中输入您的域。
   3. 在“选择器”字段中输入新的选择器字符串。
      

      注意： 选择器是一个任意字符串，用于允许给定域的多个DKIM DNS记录。我们将使用选择器为您的域在DNS中允许多个DKIM DNS记录。必须使用不同于现有DKIM签名配置文件的新选择器。
      

   4. 在“Signing Key”字段中选择上一部分中创建的DKIM签名密钥。
   5. 在签名配置文件的底部，添加新的“用户”。 此用户应是未使用的占位符电子邮件地址。

      注意：您必须将未使用的电子邮件地址添加为此签名配置文件的用户。否则，此配置文件可能会在发布DKIM TXT记录之前对出站邮件进行签名，从而导致DKIM验证失败。将未使用的电子邮件地址添加为用户可确保此签名配置文件不会对任何出站邮件签名。

   6. 单击“Submit”。
2. 在此处，点击您刚创建的签名配置文件的“DNS文本记录”列中的“生成”，并复制生成的DNS记录。其外观应如下所示：
   

   selector2._domainkey.example.com. IN TXT "v=DKIM1; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAwMaX6wMAk4iQoLNWiEkj0BrIRMDHXQ7743OQUOYZQqEXSs+jMGomOknAZJpjR8TwmYHVPbD+30QRw0qEiRY3hYcmKOCWZ/hTo+NQ8qj1CSc1LTMdV0HWAi2AGsVOT8BdFHkyxg40oyGWgktzc1q7zIgWM8usHfKVWFzYgnattNzyEqHsfI7lGilz5gdHBOvmF8LrDSfN" "KtGrTtvIxJM8pWeJm6pg6TM/cy0FypS2azkrl9riJcWWDvu38JXFL/eeYjGnB1zQeR5Pnbc3sVJd3cGaWx1bWjepyNQZ1PrS6Zwr7ZxSRa316Oxc36uCid5JAq0z+IcH4KkHqUueSGuGhwIDAQAB;"

3. 提交更改。
4. 将步骤2中的DKIM DNS TXT记录提交到DNS。
5. 等待DKIM DNS TXT记录完全传播。

删除旧签名配置文件并从新签名配置文件中删除占位符用户

一旦DKIM TXT记录提交到DNS且您确保它已传播，下一步就是删除旧签名配置文件并从新签名配置文件中移除占位符用户：

注意： 强烈建议您在继续执行以下步骤之前备份ESA配置文件。这是因为，如果您删除了旧的DKIM签名配置文件，并且需要恢复为以前的配置，您将能够轻松加载已备份的配置文件。

1. 转到邮件策略(Mail Policies) >签名配置文件(Signing Profiles)，选择旧DKIM签名配置文件，然后点击“删除”(Delete)。
2. 进入新的DKIM签名配置文件，选择当前占位符用户，然后点击“删除”。
3. 点击“Submit”。
4. 在“Test Profile”列下，点击新DKIM签名配置文件的“Test”。如果测试成功，则继续执行下一步。如果没有，请确认DKIM DNS TXT记录已完全传播。
5. 确认所做的更改。

测试邮件流以确认DKIM通过

此时，您已完成对DKIM的进一步配置。但是，您应测试DKIM签名，以确保它按预期对出站邮件进行签名并通过DKIM验证：

1. 通过ESA发送消息，确保其获得由ESA签名的DKIM以及由另一台主机验证的DKIM。
2. 在另一端收到消息后，检查消息的报头，查找报头“Authentication-Results”。 查找报头的DKIM部分以确认其是否通过DKIM验证。标题应如下所示：

   Authentication-Results: mx1.example.net; spf=SoftFail smtp.mailfrom=user1@example.net;
   dkim=pass header.i=none; dmarc=fail (p=none dis=none) d=example.net

3. 查找信头“DKIM-Signature”，并确认使用了正确的选择器和域：
   

   DKIM-Signature: a=rsa-sha256; d=example.net; s=selector2;
      c=simple; q=dns/txt; i=@example.net;
      t=1117574938; x=1118006938;
      h=from:to:subject:date;
      bh=MTIzNDU2Nzg5MDEyMzQ1Njc4OTAxMjM0NTY3ODkwMTI=;
      b=dzdVyOfAKCdLXdJOc9G2q8LoXSlEniSbav+yuU4zGeeruD00lszZ
               VoG4ZHRNiYzR

4. 一旦您确定DKIM按预期工作，请至少等待一周后删除旧DKIM TXT记录。这可确保已处理由旧DKIM密钥签名的所有邮件。