ESA: Austausch des vorhandenen DKIM-Schlüssels ohne Ausfallzeiten

Download-Optionen

  • PDF     (260.7 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (84.5 KB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (71.2 KB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:6. November 2018
Dokument-ID:213941

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

Einleitung

In diesem Dokument wird beschrieben, wie der vorhandene DKIM-Signaturschlüssel auf einer ESA und der öffentliche DKIM-Schlüssel in DNS ohne Ausfallzeiten ersetzt werden.

Anforderungen

  1. Zugriff auf die E-Mail Security Appliance (ESA)
  2. Zugriff auf DNS zum Hinzufügen/Entfernen von TXT-Einträgen
  3. Die ESA muss bereits Nachrichten mit einem DKIM-Profil signieren.

Neuen DKIM-Signaturschlüssel erstellen

Sie müssen zunächst auf der ESA einen neuen DKIM-Signaturschlüssel erstellen:

  1. Gehen Sie zu Mail-Policys > Signaturschlüssel, und wählen Sie "Schlüssel hinzufügen..." aus.
  2. Geben Sie dem DKIM-Schlüssel einen Namen, und generieren Sie entweder einen neuen privaten Schlüssel, oder fügen Sie einen vorhandenen Schlüssel ein.

    Hinweis: In den meisten Fällen wird empfohlen, eine private Schlüssellänge von 2048 Bit auszuwählen.

  3. Bestätigen Sie die Änderungen.

    Hinweis: Diese Änderung wirkt sich nicht auf die DKIM-Signierung oder den Mail-Fluss aus. Es wird lediglich ein DKIM-Signaturschlüssel hinzugefügt, der noch nicht auf ein DKIM-Signaturprofil angewendet wurde.

Erstellen eines neuen DKIM-Signaturprofils und Veröffentlichen des DNS-Eintrags in DNS

Als Nächstes müssen Sie ein neues DKIM-Signaturprofil erstellen, einen DKIM-DNS-Eintrag aus diesem DKIM-Signaturprofil generieren und diesen Eintrag in DNS veröffentlichen:

  1. Gehen Sie zu Mail-Policys > Signaturprofile, und klicken Sie auf "Profil hinzufügen...".
    1. Geben Sie im Feld "Profile Name" (Profilname) einen beschreibenden Namen für das Profil ein.
    2. Geben Sie Ihre Domäne im Feld "Domain Name" (Domänenname) ein.
    3. Geben Sie eine neue Auswahlzeichenfolge in das Feld "Selector" ein.

      Anmerkung: Der Selektor ist eine beliebige Zeichenfolge, die verwendet wird, um mehrere DKIM DNS-Einträge für eine bestimmte Domäne zuzulassen. Wir verwenden den Selektor, um mehr als einen DKIM DNS-Eintrag in DNS für Ihre Domäne zuzulassen. Es ist wichtig, einen neuen Selektor zu verwenden, der sich von dem bereits vorhandenen DKIM-Signaturprofil unterscheidet.

    4. Wählen Sie den im vorherigen Abschnitt erstellten DKIM-Signaturschlüssel im Feld "Signing Key" aus.
    5. Fügen Sie am unteren Rand des Signaturprofils einen neuen Benutzer hinzu. Bei diesem Benutzer sollte es sich um eine nicht verwendete Platzhalter-E-Mail-Adresse handeln.

      Achtung: Es ist wichtig, dass Sie eine nicht verwendete E-Mail-Adresse als Benutzer für dieses Signaturprofil hinzufügen. Andernfalls kann dieses Profil ausgehende Nachrichten signieren, bevor der DKIM TXT-Datensatz veröffentlicht wird, wodurch die DKIM-Verifizierung fehlschlägt. Durch das Hinzufügen einer nicht verwendeten E-Mail-Adresse als Benutzer wird sichergestellt, dass dieses Signaturprofil keine ausgehenden Nachrichten signiert.

    6. Klicken Sie auf Senden.
  2. Klicken Sie hier in der Spalte "DNS-Textdatensatz" für das gerade erstellte Signaturprofil auf "Generieren", und kopieren Sie den generierten DNS-Eintrag. Es sollte ähnlich wie folgt aussehen:
    selector2._domainkey.example.com. IN TXT "v=DKIM1; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAwMaX6wMAk4iQoLNWiEkj0BrIRMDHXQ7743OQUOYZQqEXSs+jMGomOknAZJpjR8TwmYHVPbD+30QRw0qEiRY3hYcmKOCWZ/hTo+NQ8qj1CSc1LTMdV0HWAi2AGsVOT8BdFHkyxg40oyGWgktzc1q7zIgWM8usHfKVWFzYgnattNzyEqHsfI7lGilz5gdHBOvmF8LrDSfN" "KtGrTtvIxJM8pWeJm6pg6TM/cy0FypS2azkrl9riJcWWDvu38JXFL/eeYjGnB1zQeR5Pnbc3sVJd3cGaWx1bWjepyNQZ1PrS6Zwr7ZxSRa316Oxc36uCid5JAq0z+IcH4KkHqUueSGuGhwIDAQAB;"
  3. Bestätigen Sie die Änderungen.
  4. Senden Sie den DKIM DNS TXT-Eintrag in Schritt 2 an DNS.
  5. Warten Sie, bis der DKIM DNS TXT-Datensatz vollständig propagiert wurde.

Altes Signaturprofil löschen und den Platzhalterbenutzer aus dem neuen Signaturprofil entfernen

Sobald der DKIM TXT-Datensatz an DNS übermittelt wurde und Sie sichergestellt haben, dass er propagiert wurde, besteht der nächste Schritt darin, das alte Signaturprofil zu löschen und den Platzhalterbenutzer aus dem neuen Signaturprofil zu entfernen:

Anmerkung: Es wird dringend empfohlen, die ESA-Konfigurationsdatei zu sichern, bevor Sie mit den folgenden Schritten fortfahren. Dies liegt daran, dass Sie die gesicherte Konfigurationsdatei laden können, wenn Sie das alte DKIM-Signaturprofil löschen und die vorherige Konfiguration wiederherstellen müssen.

  1. Gehen Sie zu Mail-Policys > Signaturprofile, wählen Sie das alte DKIM-Signaturprofil aus, und klicken Sie auf "Löschen".
  2. Wechseln Sie zum neuen DKIM-Signaturprofil, wählen Sie den aktuellen Platzhalterbenutzer aus, und klicken Sie auf "Entfernen".
  3. Klicken Sie auf "Senden".
  4. Klicken Sie in der Spalte "Test Profile" (Testprofil) auf "Test", um das neue DKIM-Signaturprofil zu erhalten. Wenn der Test erfolgreich war, fahren Sie mit dem nächsten Schritt fort. Wenn nicht, stellen Sie sicher, dass der DKIM DNS TXT-Datensatz vollständig propagiert wurde.
  5. Bestätigen Sie die vorgenommenen Änderungen.

Testen des E-Mail-Flusses zur Bestätigung von DKIM-Durchläufen

Jetzt ist die Konfiguration von DKIM abgeschlossen. Sie sollten jedoch die DKIM-Signierung testen, um sicherzustellen, dass die ausgehenden Nachrichten wie erwartet signiert und die DKIM-Verifizierung bestanden wird:

  1. Senden Sie eine Nachricht über die ESA, um sicherzustellen, dass die ESA DKIM signiert und von einem anderen Host DKIM verifiziert wird.
  2. Nachdem die Nachricht am anderen Ende empfangen wurde, überprüfen Sie die Kopfzeilen der Nachricht für den Header "Authentication-Results". Überprüfen Sie im DKIM-Abschnitt des Headers, ob die DKIM-Verifizierung bestanden hat. Der Header sollte ähnlich wie folgt aussehen: 
    Authentication-Results: mx1.example.net; spf=SoftFail smtp.mailfrom=user1@example.net;
dkim=pass header.i=none; dmarc=fail (p=none dis=none) d=example.net
  3. Suchen Sie nach dem Header "DKIM-Signature" und vergewissern Sie sich, dass der richtige Selektor und die richtige Domain verwendet werden:
    DKIM-Signature: a=rsa-sha256; d=example.net; s=selector2;
       c=simple; q=dns/txt; i=@example.net;
       t=1117574938; x=1118006938;
       h=from:to:subject:date;
       bh=MTIzNDU2Nzg5MDEyMzQ1Njc4OTAxMjM0NTY3ODkwMTI=;
       b=dzdVyOfAKCdLXdJOc9G2q8LoXSlEniSbav+yuU4zGeeruD00lszZ
                VoG4ZHRNiYzR
  4. Wenn Sie sich davon überzeugt haben, dass DKIM wie vorgesehen funktioniert, warten Sie mindestens eine Woche, bevor Sie den alten DKIM TXT-Datensatz entfernen. Dadurch wird sichergestellt, dass alle vom alten DKIM-Schlüssel signierten Nachrichten verarbeitet wurden.

Revisionsverlauf

Überarbeitung Veröffentlichungsdatum Kommentare
1.0
29-Nov-2018
Erstveröffentlichung
TAC Authored

Beiträge von Cisco Ingenieuren

  • Jordan Andrews
    Cisco Technical Support Engineer

War dieses Dokument hilfreich?

FeedbackFeedback

Cisco kontaktieren

Dieses Dokument gilt für folgende Produkte.