為遞送至外部網際網路網域的訊息配置 DKIM 簽署

Domino 可以使用網域金鑰識別的郵件 (DKIM),來簽署內部使用者傳送至外部網際網路網域的訊息。

當外部 SMTP MTA 收到 DKIM 簽署訊息時,其會使用 DKIM 簽章來驗證自 DKIM 簽署後,訊息上的特定內容及標頭未遭修改。DKIM 簽章採用 DKIM-Signature 標頭的形式,Domino 路由器會在 SMTP 躍點時將此標頭附加到訊息前面。DKIM-Signature 標頭包含資訊,外部 MTA 可以使用該資訊搭配簽章資料及透過 DNS 取得的公開金鑰來驗證訊息內容。如需 DKIM 簽署的詳細資料,請參閱 RFC6376。

若要使用 DKIM 簽署訊息, Domino 會使用您透過 keymgmt 指令建立的金鑰組。此指令會在包含網際網路網域及選取器項目的認證儲存庫中建立文件。這些項目可讓 Domino 路由器尋找要用來產生 DKIM 簽章的正確私密金鑰。

若要使用 DKIM 簽署正在遞送至網際網路的訊息,請在 Domino 環境邊緣上使用 SMTP 將郵件傳輸至網際網路的 Domino 伺服器上配置 DKIM。

DKIM 簽署的需求如下:
  • Linux 64 或 Windows 64 上的 Domino 12.0.1 版 SMTP 伺服器。
  • 在使用 DKIM 簽署的每一個 Domino SMTP 上儲存 DKIM 金鑰的認證儲存庫。如果您尚未使用認證儲存庫,如需建立認證儲存庫的相關資訊,請參閱 使用認證儲存庫來儲存認證
  • 為每個要啟用的 DKIM 內部網際網路網域的 DNS TXT 記錄。您可以如本程序所述,使用 keymgmt 指令,使用認證儲存庫中的金鑰來建立此 DNS TXT 記錄。DNS 提供者可以提供將此記錄新增至 DNS 網域設定的指示。
DKIM 簽署的配置步驟如下:
  1. 在認證儲存庫中建立 DKIM 簽署金鑰。
  2. 建立包含金鑰的 DNS TXT 記錄,並將其新增至 DNS 網域設定。
  3. 指定要用於伺服器上 DKIM 簽署(透過 notes.ini)的金鑰。
  4. 在伺服器上啟用 DKIM 簽署(透過 notes.ini)。

建立 DKIM 簽署金鑰

在認證儲存庫中建立一或多個用於 DKIM 簽署的金鑰組。若要在認證儲存庫的文件中建立 DKIM 簽署金鑰組,請從具有認證儲存庫的 Domino 伺服器主控台執行下列指令:
keymgmt create DKIM <domain> <selector> RSA [<keySize>]
其中:
  • <domain> 是 Domino 網際網路網域的名稱,例如 renovations.comsales.renovations.com
  • <selector> 是您選擇的 DKIM 選取器名稱。選取器在 DKIM-Signature 標頭中指定,並指出 DKIM 金鑰組的公開金鑰部分在 DNS 中是否存在。
  • <keySize> 是 DKIM 金鑰的指定大小。大小可以是 1024、2048 或 4096。
例如: 
keymgmt create DKIM renovations.com 12345 RSA 2048
與下列訊息類似的主控台訊息指出指令成功:
 > keymgmt create DKIM renovations.com 12345 RSA 2048 [4F24:0007-2F28] Created DKIM key 12345._domainkey.renovations.com
註: 在伺服器 notes.ini 設定中指定網域及選取器,以啟用 DKIM 金鑰。255 個字元是 notes.ini 設定容許的上限,這會對網域及選取器大小設定實際限制。

在.txt 檔案中建立 DNS TXT 記錄

在認證儲存庫中建立 DKIM 簽署金鑰之後,請執行下列指令,在 Domino 資料目錄中建立 .txt 檔案,其中含有具有金鑰的 DNS TXT 記錄:
keymgmt export DKIM DNS <domain> <selector> <dkimdnsfile>
其中:
  • <domain> 是您為該金鑰指定的 Domino 網際網路網域名稱。
  • <selector> 是您為該金鑰指定的 DKIM 選取器。
  • <dkimdnsfile> 是要在 Domino 資料目錄中建立包含 DNS TXT 記錄的 .txt 檔名。
例如: 
keymgmt export DKIM DNS renovations.com 12345 dkimdns.txt

這個指令會建立檔案 dkimdns.txt,並新增 12345._domainkey.renovations.com 的 DNS TXT 記錄內容。使用此檔案中的資訊,將 TXT 記錄新增至 DNS 網域設定。

指定要用於 DKIM 簽署的金鑰

將用於 DKIM 簽署之金鑰的 DNS TXT 記錄新增至 DNS 網域設定之後,請使用 Domino SMTP 伺服器上的 notes.ini 設定DKIM_KEY,將網域對映至用於 DKIM 簽署的金鑰。下表說明此設定的各種選項。如果路由器正在執行,請重新啟動該路由器,以讓變更生效。
範例設定 說明 範例
DKIM_KEY_<domain>=<selector> 當使用者從指定的網域或其任何子網域傳送訊息時,伺服器會以與指定選取器對應的金鑰來簽署訊息。 DKIM_KEY_renovations.com=09262021
DKIM_KEY_<subdomain>=<selector> 當使用者從指定的子網域傳送訊息時,伺服器會以與指定選取器對應的金鑰來簽署訊息。 DKIM_KEY_sales.renovations.com=sales4321
DKIM_KEY_<domain>=<selector>,<selector> 當使用者從指定的網域傳送訊息時, 會以兩個選取器指定的兩個金鑰來簽署訊息。
這個實務範例在以下情形很實用:
  • 容許在金鑰輪替轉移期間由舊金鑰和新金鑰簽署,而新金鑰會傳播至 DNS。
  • 使用多個簽署演算法。
 DKIM_KEY_renovations.com=09262021,10042021
DKIM_KEY_<aliasdomain>=<domain>;<selector> 當使用者從別名網域(不是主網域的網域)傳送訊息時,會以與主網域之選取器對應的金鑰來簽署訊息。 DKIM_KEY_aliasrenovations.com=renovations.com;09262021

啟用 DKIM 簽署

配置 DKIM_KEY 設定以將網域對映至金鑰之後,請指定下列其他設定以啟用 DKIM 簽署。您可以在路由器執行中且不需要重新啟動路由器時,啟用或停用 DKIM 簽署。 
RouterDKIMSigning=<value>
其中 <value> 是下列值之一:
  • 1 如果指定了寄件者網域的簽署金鑰,這個選項會盡最大努力來簽署訊息。如果發生簽署錯誤,則會記載錯誤,但訊息會以未簽署的形式遞送。
  • 2 此選項會施行 DKIM 簽署。如果指定了寄件者網域的簽署金鑰,且發生簽署錯誤,則會記載錯誤,且訊息不會傳送。傳送的使用者會收到未遞送報告。