ESA -更換現有DKIM金鑰，無需停機

簡介

本文檔介紹如何在不停機的情況下替換ESA上的現有DKIM簽名金鑰和DNS中的DKIM公鑰。

需求

1. 訪問郵件安全裝置(ESA)。
2. 訪問DNS以增加/刪除TXT記錄。
3. ESA必須已經使用DKIM配置檔案簽署消息。

建立新的DKIM簽名金鑰

您首先需要在ESA上建立一個新的DKIM簽名金鑰：

1. 轉到郵件策略>簽名金鑰，然後選擇「增加金鑰……」(Add Key...)
2. 為DKIM金鑰命名，並生成新的私鑰或貼上到現有金鑰中。

   注意：在大多數情況下，建議您選擇2048位的私鑰大小。

3. 提交更改。
   

   注意：此更改不會影響DKIM簽名或郵件流。我們只是在增加DKIM簽名金鑰，尚未將其應用於任何DKIM簽名配置檔案。

生成新的DKIM簽名配置檔案並將DNS記錄發佈到DNS

接下來，您需要建立新的DKIM簽名配置檔案，從該DKIM簽名配置檔案生成DKIM DNS記錄，並將該記錄發佈到DNS：

1. 轉到郵件策略(Mail Policies) >簽名配置檔案(Signing Profiles)，然後點選增加配置檔案(Add Profile...)。
   1. 在「設定檔名稱」欄位中，為設定檔指定描述性名稱。
   2. 在「域名」欄位中輸入您的域。
   3. 在「Selector」欄位中輸入新的選取器字串。
      

      附註： 選擇器是一個任意字串，用於允許給定域的多個DKIM DNS記錄。我們將使用選擇器為您的域在DNS中允許多條DKIM DNS記錄。使用與現有DKIM簽名配置檔案不同的新選擇器非常重要。
      

   4. 在「Signing Key」欄位中選擇在上一部分中建立的DKIM簽名金鑰。
   5. 在簽名配置檔案的最下方，增加一個新的「使用者」。 此使用者應為未使用的佔位符電子郵件地址。

      注意：請務必為此簽名配置檔案增加一個未使用的電子郵件地址。否則，此配置檔案可能會在發佈DKIM TXT記錄之前簽署出站消息，從而導致DKIM驗證失敗。將未使用的電子郵件地址增加為使用者可確保此簽名配置檔案不會對任何出站郵件進行簽名。

   6. 按一下提交。
2. 在此處，點選您剛剛建立的簽名配置檔案的「DNS文本記錄」列中的「生成」，然後複製生成的DNS記錄。其外觀應類似以下內容：
   

   selector2._domainkey.example.com. IN TXT "v=DKIM1; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAwMaX6wMAk4iQoLNWiEkj0BrIRMDHXQ7743OQUOYZQqEXSs+jMGomOknAZJpjR8TwmYHVPbD+30QRw0qEiRY3hYcmKOCWZ/hTo+NQ8qj1CSc1LTMdV0HWAi2AGsVOT8BdFHkyxg40oyGWgktzc1q7zIgWM8usHfKVWFzYgnattNzyEqHsfI7lGilz5gdHBOvmF8LrDSfN" "KtGrTtvIxJM8pWeJm6pg6TM/cy0FypS2azkrl9riJcWWDvu38JXFL/eeYjGnB1zQeR5Pnbc3sVJd3cGaWx1bWjepyNQZ1PrS6Zwr7ZxSRa316Oxc36uCid5JAq0z+IcH4KkHqUueSGuGhwIDAQAB;"

3. 提交更改。
4. 將步驟2中的DKIM DNS TXT記錄提交給DNS。
5. 等待DKIM DNS TXT記錄完全傳播。

刪除舊簽名配置檔案並從新簽名配置檔案中刪除佔位符使用者

將DKIM TXT記錄提交到DNS並確保該記錄已傳播後，下一步是刪除舊簽名配置檔案並從新簽名配置檔案中刪除佔位符使用者：

附註： 強烈建議您先備份ESA配置檔案，然後再執行以下步驟。這是因為如果刪除了舊的DKIM簽名配置檔案，並且需要恢復為以前的配置，則可以輕鬆載入備份的配置檔案。

1. 轉至「郵件策略」(Mail Policies) >「簽名配置檔案」(Signing Profiles)，選擇舊DKIM簽名配置檔案並按一下「刪除」(Delete)。
2. 進入新的DKIM簽名配置檔案，選擇當前佔位符使用者並按一下「刪除」。
3. 按一下「提交」。
4. 在「Test Profile」列下，按一下新DKIM簽名配置檔案的「Test」。如果測試成功，請繼續下一步。如果沒有，請確認DKIM DNS TXT記錄已完全傳播。
5. 確認所做的更改。

測試郵件流程以確認DKIM透過

此時，您已完成對DKIM的配置。但是，您應測試DKIM簽名，以確保它按預期對出站郵件進行簽名並透過DKIM驗證：

1. 透過ESA傳送一條消息，確保獲得ESA簽署的DKIM和另一台主機驗證的DKIM。
2. 在另一端收到消息後，檢查消息的報頭中是否有報頭「Authentication-Results」。 尋找標頭的DKIM區段，確認它是否透過DKIM驗證。標題應類似於以下內容：

   Authentication-Results: mx1.example.net; spf=SoftFail smtp.mailfrom=user1@example.net;
   dkim=pass header.i=none; dmarc=fail (p=none dis=none) d=example.net

3. 查詢標頭「DKIM-Signature」（DKIM簽名），確認使用的是正確的選擇器和域：
   

   DKIM-Signature: a=rsa-sha256; d=example.net; s=selector2;
      c=simple; q=dns/txt; i=@example.net;
      t=1117574938; x=1118006938;
      h=from:to:subject:date;
      bh=MTIzNDU2Nzg5MDEyMzQ1Njc4OTAxMjM0NTY3ODkwMTI=;
      b=dzdVyOfAKCdLXdJOc9G2q8LoXSlEniSbav+yuU4zGeeruD00lszZ
               VoG4ZHRNiYzR

4. 一旦您確定DKIM正在按預期工作，請至少等待一週後刪除舊DKIM TXT記錄。這可確保已處理由舊DKIM金鑰簽名的所有消息。