외부 인터넷 도메인으로 라우팅된 메시지의 DKIM 서명 구성

Domino는 내부 사용자가 외부 인터넷 도메인으로 보낸 메시지를 DKIM(Domain Keys Identified Mail)을 사용하여 서명할 수 있습니다.

외부 SMTP MTA가 DKIM 서명 메시지를 수신하면 DKIM 서명을 사용하여 메시지의 특정 컨텐츠와 헤더가 DKIM 서명 이후에 수정되지 않았는지 확인합니다. DKIM 서명은 Domino 라우터가 SMTP 홉에서 메시지 앞에 추가하는 DKIM-Signature 헤더의 형식을 갖습니다. DKIM-Signature 헤더는 외부 MTA가 서명 데이터와 DNS를 통해 획득한 공개 키를 사용하여 메시지 컨텐츠를 확인하는 데 사용할 수 있는 정보를 포함합니다. DKIM 서명에 대한 자세한 정보는 RFC6376을 참조하십시오.

Domino는 DKIM을 사용하여 메시지에 서명하기 위해, 사용자가 keymgmt 명령으로 작성한 키 쌍을 사용합니다. 이 명령은 신임 정보 저장소에 인터넷 도메인 및 선택기 항목을 포함하는 문서를 작성합니다. 이러한 항목은 Domino 라우터가 DKIM 서명을 생성하는 데 사용할 올바른 개인 키를 찾을 수 있도록 해 줍니다.

DKIM을 사용하여 인터넷으로 라우팅되는 메시지에 서명하려면, SMTP를 사용하여 메일을 인터넷으로 전송하는 Domino 환경의 엣지에 있는 Domino 서버에서 DKIM을 구성하십시오.

DKIM 서명을 위한 요구사항은 다음과 같습니다.
  • Linux 64 또는 Windows 64의 Domino V12.0.1 SMTP 서버.
  • DKIM 서명을 사용하는 각 Domino SMTP에 있는 DKIM 키 저장용 신임 정보 저장소. 아직 신임 정보 저장소를 사용하지 않는 경우 작성하는 방법을 알아보려면 신임 정보 저장소를 사용하여 신임 정보 저장의 내용을 참조하십시오.
  • DKIM을 사용 설정하기 위한, 각 내부 인터넷 도메인에 대한 DNS TXT 레코드. 이 절차에서 설명하는 바와 같이 신임 정보 저장소의 키를 사용하여 이 DNS TXT 레코드를 작성하려면 keymgmt 명령을 사용합니다. 이 레코드를 DNS 도메인 설정에 추가하는 방법은 DNS 제공자에게 문의하십시오.
DKIM 서명을 구성하는 방법은 다음과 같습니다.
  1. 신임 정보 저장소에 DKIM 서명 키를 작성합니다.
  2. 키를 포함하는 DNS TXT 레코드를 작성하여 DNS 도메인 설정에 추가합니다.
  3. 서버에서 (notes.ini를 통해) DKIM 서명에 사용할 키를 지정합니다.
  4. 서버에서 (notes.ini를 통해) DKIM 서명을 사용하도록 설정합니다.

DKIM 서명 키 작성

신임 정보 저장소에 DKIM 서명에 사용할 하나 이상의 키 쌍을 작성합니다. 신임 정보 저장소의 문서에 DKIM 서명 키 쌍을 작성하려면 해당 신임 정보 저장소가 있는 Domino 서버의 콘솔에서 다음 명령을 실행합니다.
keymgmt create DKIM <domain> <selector> RSA [<keySize>]
설명:
  • <domain>은 Domino 인터넷 도메인의 이름입니다(예: renovations.com 또는 sales.renovations.com).
  • <selector>는 DKIM 선택기에 대해 사용자가 선택한 이름입니다. 선택기는 DKIM-Signature 헤더에 지정되며, DNS의 어디에 DKIM 키 쌍의 공개 키 부분이 있는지 나타냅니다.
  • <keySize>는 DKIM 키의 지정된 크기입니다. 크기는 1024, 2048 또는 4096일 수 있습니다.
예: 
keymgmt create DKIM renovations.com 12345 RSA 2048
다음과 비슷한 콘솔 메시지는 명령이 성공적임을 나타냅니다.
 > keymgmt create DKIM renovations.com 12345 RSA 2048 [4F24:0007-2F28] Created DKIM key 12345._domainkey.renovations.com
주: DKIM 키는 서버 notes.ini 설정에 도메인 및 선택기를 지정함으로써 사용하도록 설정됩니다. notes.ini 설정의 허용되는 최대 길이는 255자이므로 도메인 및 선택기 크기에 실질적인 제한이 적용됩니다.

.txt 파일에 DNS TXT 레코드 작성

신임 정보 저장소에 DKIM 서명 키를 작성한 후에는 다음 명령을 실행하여 DNS TXT 레코드와 키를 포함하는 Domino 데이터 디렉토리에 .txt 파일을 작성합니다.
keymgmt export DKIM DNS <domain> <selector> <dkimdnsfile>
설명:
  • <domain>은 키에 대해 지정한 Domino 인터넷 도메인의 이름입니다.
  • <selector>는 키에 대해 지정한 DKIM 선택기입니다.
  • <dkimdnsfile>은 DNS TXT 레코드를 포함하는 Domino 데이터 디렉토리에 작성할 .txt 파일의 이름입니다.
예: 
keymgmt export DKIM DNS renovations.com 12345 dkimdns.txt

이 명령은 dkimdns.txt 파일을 작성하고 12345._domainkey.renovations.com에 대한 DNS TXT 레코드의 컨텐츠를 추가합니다. 이 파일의 정보는 DNS 도메인 설정에 TXT 레코드를 추가하는 데 사용합니다.

DKIM 서명에 사용할 키 지정

DKIM 서명에 사용할 키의 DNS TXT 레코드를 DNS 도메인 설정에 추가했으면 Domino SMTP 서버에서 notes.ini 설정 DKIM_KEY를 사용하여 도메인을 DKIM 서명에 사용할 키에 맵핑합니다. 아래 표에서는 이 설정의 여러 옵션에 대해 설명합니다. 라우터가 실행 중이면 변경사항이 적용되도록 라우터를 재시작하십시오.
예제 설정 설명
DKIM_KEY_<domain>=<selector> 사용자가 지정된 도메인 또는 하위 도메인에서 메시지를 보내면 서버가 지정된 선택기에 대응하는 키를 사용하여 메시지에 서명합니다. DKIM_KEY_renovations.com=09262021
DKIM_KEY_<subdomain>=<selector> 사용자가 지정된 하위 도메인에서 메시지를 보내면 서버가 지정된 선택기에 대응하는 키를 사용하여 메시지에 서명합니다. DKIM_KEY_sales.renovations.com=sales4321
DKIM_KEY_<domain>=<selector>,<selector> 사용자가 지정된 도메인에서 메시지를 보내면 두 선택기에 의해 지정된 두 키를 사용하여 메시지에 서명합니다.
이 시나리오는 다음과 같은 경우에 유용합니다.
  • 새 키가 DNS로 전파되는 키 롤오버 전환 중에 기존 키와 새 키 양쪽 모두에 의한 서명 허용.
  • 여러 서명 알고리즘 사용.
 DKIM_KEY_renovations.com=09262021,10042021
DKIM_KEY_<aliasdomain>=<domain>;<selector> 사용자가 별명 도메인(기본 도메인이 아닌 도메인)에서 메시지를 보내면 기본 도메인의 선택기에 대응하는 키를 사용하여 메시지가 서명됩니다. DKIM_KEY_aliasrenovations.com=renovations.com;09262021

DKIM 서명 사용

도메인이 키에 맵핑되도록 DKIM_KEY 설정을 구성했으면 다음과 같은 추가 설정을 지정하여 DKIM 서명을 사용하도록 설정합니다. 라우터가 실행 중인 동안 DKIM 서명을 사용하도록 설정하거나 비활성화할 수 있으며, 라우터를 재시작할 필요가 없습니다. 
RouterDKIMSigning=<value>
여기서 <value>는 다음 값 중 하나입니다.
  • 1 이 옵션은 발신인 도메인에 대해 서명 키가 지정된 경우 메시지에 서명하기 위해 최선의 노력을 다합니다. 서명 오류가 발생하면 오류가 로깅되지만 메시지는 서명되지 않은 채로 전달됩니다.
  • 2 이 옵션은 DKIM 서명을 강제 실행합니다. 발신인 도메인에 대해 서명 키가 지정되어 있고 서명 오류가 발생하는 경우 오류가 로깅되고 메시지가 전송되지 않습니다. 보내는 사용자에게 미배달 보고가 제공됩니다.