在ESA上配置DKIM簽名

下載選項

  • PDF     (366.0 KB)
    在多種裝置上使用 Adobe Reader 檢視
  • ePub     (78.3 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上的各種應用程式中檢視
  • Mobi (Kindle)     (63.5 KB)
    在 Kindle 裝置或多部裝置的 Kindle 應用程式上檢視
已更新: 2023 年 4 月 21 日
文件 ID:213939

無偏見用語

本產品的文件集力求使用無偏見用語。針對本文件集的目的,無偏見係定義為未根據年齡、身心障礙、性別、種族身分、民族身分、性別傾向、社會經濟地位及交織性表示歧視的用語。由於本產品軟體使用者介面中硬式編碼的語言、根據 RFP 文件使用的語言,或引用第三方產品的語言,因此本文件中可能會出現例外狀況。深入瞭解思科如何使用包容性用語。

關於此翻譯

思科已使用電腦和人工技術翻譯本文件,讓全世界的使用者能夠以自己的語言理解支援內容。請注意,即使是最佳機器翻譯,也不如專業譯者翻譯的內容準確。Cisco Systems, Inc. 對這些翻譯的準確度概不負責,並建議一律查看原始英文文件(提供連結)。

    簡介

    本文檔介紹如何在郵件安全裝置(ESA)上配置DomainKeys Identified Mail (DKIM)簽名。

    必要條件

    需求

    思科建議您瞭解以下主題:

    • 郵件安全裝置(ESA)訪問。
    • DNS編輯訪問以增加/刪除TXT記錄。

    採用元件

    本文件所述內容不限於特定軟體和硬體版本。

    本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。

    確定DKIM簽署已關閉

    您需要確保在所有郵件流策略中關閉DKIM簽名。這允許您配置DKIM簽名而不影響郵件流:

    1. 導航到郵件策略>郵件流策略
    2. 導航到每個郵件流策略,並確保Domain Key/DKIM Signing設定為Off

    建立DKIM簽署金鑰

    您需要在ESA上建立一個新的DKIM簽名金鑰:

    1. 導航到郵件策略>簽名金鑰,然後選擇增加金鑰……
    2. 命名DKIM金鑰並生成新的私鑰或貼上到當前金鑰中。

      注意:在大多數情況下,建議您選擇2048位的私鑰大小。

    3. 提交更改。

    生成新的DKIM簽名配置檔案並向DNS發佈DNS記錄

    接下來,您需要建立新的DKIM簽名配置檔案,從該DKIM簽名配置檔案生成DKIM DNS記錄並將該記錄發佈到DNS:

    1. 導航到郵件策略>簽名配置檔案,然後點選增加配置檔案
      1. 配置檔名稱欄位中為配置檔案指定描述性名稱。
      2. 域名欄位中輸入您的域。
      3. Selector欄位中輸入新的選擇器字串。

        注意:選擇器是一個任意字串,用於允許給定域的多個DKIM DNS記錄。

      4. Signing Key欄位中選擇上一部分中建立的DKIM簽名金鑰。
      5. 按一下Submit
    2. 從此處針對您剛建立的簽名配置檔案點選DNS文本記錄列中的生成,然後複製生成的DNS記錄。其外觀必須與以下內容類似:
      selector2._domainkey.domainsite IN TXT "v=DKIM1; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAwMaX6wMAk4iQoLNWiEkj0BrIRMDHXQ7743OQUOYZQqEXSs+jMGomOknAZJpjR8TwmYHVPbD+30QRw0qEiRY3hYcmKOCWZ/hTo+NQ8qj1CSc1LTMdV0HWAi2AGsVOT8BdFHkyxg40oyGWgktzc1q7zIgWM8usHfKVWFzYgnattNzyEqHsfI7lGilz5gdHBOvmF8LrDSfN""KtGrTtvIxJM8pWeJm6pg6TM/cy0FypS2azkrl9riJcWWDvu38JXFL/eeYjGnB1zQeR5Pnbc3sVJd3cGaWx1bWjepyNQZ1PrS6Zwr7ZxSRa316Oxc36uCid5JAq0z+IcH4KkHqUueSGuGhwIDAQAB;"
    3. 提交更改
    4. 將步驟2中的DKIM DNS TXT記錄提交給DNS。
    5. 等待DKIM DNS TXT記錄完全傳播。
    6. 轉至Mail Policies > Signing Profiles
    7. Test Profile列下,按一下新DKIM簽名配置檔案的Test。如果測試成功,請繼續本指南。如果沒有,請確認DKIM DNS TXT記錄已完全傳播。

    開啟DKIM簽章

    現在ESA已配置為DKIM簽名消息,我們可以打開DKIM簽名:

    1. 導航到郵件策略>郵件流策略
    2. 轉到具有中繼 連線行為的每個郵件流策略,然後將域金鑰/DKIM簽名設定為

      注意:預設情況下,Connection BehaviorRelay的唯一郵件流策略是名為Relayed的郵件流策略。您需要確保只有DKIM簽名郵件是出站郵件。

    3. 提交更改。

    測試郵件流程以確認DKIM透過

    此時,已配置DKIM。但是,您需要測試DKIM簽名,以確保它按預期對出站郵件進行簽名,並確保其透過DKIM驗證:

    1. 透過ESA傳送一條消息,並確保它獲得ESA簽署的DKIM和另一台主機驗證的DKIM。
    2. 在另一端收到消息後,檢查消息的報頭中是否有報頭Authentication-Results。尋找標頭的DKIM區段,確認它是否透過DKIM驗證。標題必須類似於以下示例: 
      Authentication-Results: mx1.domainsite; spf=SoftFail smtp.mailfrom=user1@domainsite;
dkim=pass header.i=none; dmarc=fail (p=none dis=none) d=domainsite
    3. 查詢標頭「DKIM-Signature」,並確認使用了正確的選擇器和域:
      DKIM-Signature: a=rsa-sha256; d=domainsite; s=selector2;
         c=simple; q=dns/txt; i=@domainsite;
         t=1117574938; x=1118006938;
         h=from:to:subject:date;
         bh=MTIzNDU2Nzg5MDEyMzQ1Njc4OTAxMjM0NTY3ODkwMTI=;
         b=dzdVyOfAKCdLXdJOc9G2q8LoXSlEniSbav+yuU4zGeeruD00lszZ
                  VoG4ZHRNiYzR

        

    驗證

    目前沒有適用於此組態的驗證程序。

    疑難排解

    目前沒有針對此組態進行疑難排解的特定方法。

    相關資訊

    修訂記錄

    修訂 發佈日期 意見
    2.0
    21-Apr-2023
    重新認證
    1.0
    29-Nov-2018
    初始版本
    TAC Authored

    由思科工程師貢獻

    • Jordan Andrews
      Cisco Technical Support Engineer

    這份文件是否有所幫助?

    Feedback意見

    讓思科協助您

    本文件適用於這些產品