외부 인터넷 도메인으로 라우팅되는 메시지에 대한 DKIM 서명 구성

Domino는 DKIM(Domain Keys Identified Mail)을 사용하여 내부 사용자가 외부 인터넷 도메인으로 보낸 메시지에 서명할 수 있습니다.

외부 SMTP MTA가 DKIM으로 서명된 메시지를 받으면 DKIM 서명을 사용하여 DKIM 서명 이후 메시지의 특정 콘텐츠와 헤더가 수정되지 않았는지 확인합니다. DKIM 서명은 Domino 라우터가 SMTP 홉에서 메시지 앞에 붙이는 DKIM-Signature 헤더 형태를 취합니다. DKIM-Signature 헤더에는 외부 MTA가 DNS를 통해 얻은 서명 데이터와 공개 키를 사용하여 메시지 내용을 확인하는 데 사용할 수 있는 정보가 포함되어 있습니다. DKIM 서명에 대한 자세한 내용은 RFC6376을 참조하세요.

DKIM을 사용하여 메시지에 서명하기 위해 Domino는 keymgmt 명령으로 생성한 키 쌍을 사용합니다. 이 명령은 인터넷 도메인과 선택기 항목을 포함하는 자격 증명 저장소에 문서를 만듭니다. 이러한 항목을 통해 Domino 라우터는 DKIM 서명을 생성하는 데 사용할 올바른 개인 키를 찾을 수 있습니다.

인터넷으로 라우팅되는 메시지에 서명하기 위해 DKIM을 사용하려면 SMTP를 사용하여 메일을 인터넷으로 전송하는 Domino 환경의 에지에 있는 Domino 서버에서 DKIM을 구성해야 합니다.

DKIM 서명에 대한 요구 사항은 다음과 같습니다.
  • Linux 64 또는 Windows 64에서 실행되는 Domino V12.0.1 SMTP 서버입니다.
  • DKIM 서명을 사용하는 각 Domino SMTP에 DKIM 키를 저장하기 위한 자격 증명 저장소입니다. 아직 사용하지 않는 경우 자격 증명 저장소를 만드는 방법에 대한 자세한 내용은 자격 증명 저장소를 사용하여 자격 증명을 저장하는 방법을 참조하세요. SMTP 서버에 이미 자격 증명 저장소가 있는 경우 자격 증명 저장소가 V12.0.1 websecuritystore.ntf 템플릿을 사용하는지 확인하세요.
  • DKIM 서명에 사용되는 각 키에 대한 공개 DNS TXT 레코드입니다. 이 절차에 설명된 대로 keymgmt 명령을 사용하여 DNS TXT 레코드의 내용을 생성합니다. 귀하의 DNS 제공자는 귀하의 DNS 도메인 설정에 이 레코드를 추가하는 방법에 대한 지침을 제공할 수 있습니다.
DKIM 서명을 구성하는 단계는 다음과 같습니다.
  1. 자격 증명 저장소에 DKIM 서명 키를 생성합니다.
  2. 키가 포함된 DNS TXT 레코드를 만들고 DNS 도메인 설정에 추가합니다.
  3. 서버에서 DKIM 서명(notes.ini를 통해)에 사용할 키를 지정합니다.
  4. 서버에서 DKIM 서명(notes.ini를 통해)을 활성화합니다.

DKIM 서명 키 생성

DKIM 서명에 사용할 자격 증명 저장소에 하나 이상의 키 쌍을 만듭니다. 자격 증명 저장소의 문서에서 DKIM 서명 키 쌍을 만들려면 자격 증명 저장소가 있는 Domino 서버의 콘솔에서 다음 명령을 실행합니다.
keymgmt create DKIM <domain> <selector> RSA [<keySize>]
어디:
  • <domain> 예를 들어, Domino 인터넷 도메인의 이름입니다. renovations.com 또는 sales.renovations.com.
  • <selector> DKIM 선택기에 대해 선택한 이름입니다. 선택기는 DKIM-Signature 헤더에 지정되며 DKIM 키 쌍의 공개 키 부분이 DNS에 존재하는 위치를 나타냅니다.
  • <keySize> DKIM 키에 대해 지정된 크기입니다. 크기는 1024, 2048 또는 4096일 수 있습니다.
예를 들어: 
keymgmt create DKIM renovations.com 12345 RSA 2048
다음과 유사한 콘솔 메시지는 명령이 성공했음을 나타냅니다.
> keymgmt create DKIM 혁신.com 12345 RSA 2048 [4F24:0007-2F28] DKIM 키 12345._domainkey.renovations.com 생성
참고: DKIM 키는 서버 Notes.ini 설정에서 도메인 및 선택기를 지정하여 활성화됩니다. 도메인 및 선택기 크기에 실질적인 제한을 두는 Notes.ini 설정에 허용되는 최대 문자 수는 255자입니다.

.txt 파일에 DNS TXT 레코드를 만듭니다.

자격 증명 저장소에 DKIM 서명 키를 만든 후 다음 명령을 실행하여 지정된 키에 대한 DNS TXT 레코드 내용이 포함된 Domino 데이터 디렉터리에 .txt 파일을 만듭니다.
keymgmt export DKIM DNS <domain> <selector> <dkimdnsfile>
어디:
  • <domain> 키에 대해 지정한 Domino 인터넷 도메인의 이름입니다.
  • <selector> 키에 대해 지정한 DKIM 선택기입니다.
  • <dkimdnsfile> DNS TXT 레코드가 포함된 Domino 데이터 디렉토리에 생성할 .txt 파일의 이름입니다.
예를 들어: 
keymgmt export DKIM DNS renovations.com 12345 dkimdns.txt

이 명령은 dkimdns.txt 파일을 생성하는데, 이 파일에는 12345._domainkey.renovations.com 의 DNS TXT 레코드 내용으로 사용할 정보가 들어 있습니다. DKIM 서명 키에 대해 생성한 파일의 정보를 사용하여 DKIM 서명 키의 TXT 레코드를 DNS 도메인 설정에 추가합니다. DNS 항목 이름은 다음 형식이어야 합니다. <selector>._domainkey.<domain>, 어디 <selector> 그리고 <domain> 키를 생성하고 파일을 생성할 때 지정한 대로입니다.

DKIM 서명에 사용할 키 지정

DKIM 서명에 사용할 키에 대한 DNS TXT 레코드를 DNS 도메인 설정에 추가한 후 Domino SMTP 서버에서 notes.ini 설정 DKIM_KEY를 사용하여 도메인을 DKIM 서명에 사용할 키에 매핑합니다. 다음 표에서는 이 설정에 대한 다양한 옵션을 설명합니다. 라우터가 실행 중이면 변경 사항을 적용하려면 다시 시작하세요.
설정 예시 설명
DKIM_키_<domain> =<selector> 사용자가 지정된 도메인이나 하위 도메인에서 메시지를 보내면 서버는 지정된 선택기에 해당하는 키로 메시지에 서명합니다. DKIM_KEY_renovations.com=09262021
DKIM_키_<subdomain> =<selector> 사용자가 지정된 하위 도메인에서 메시지를 보내면 서버는 지정된 선택기에 해당하는 키로 메시지에 서명합니다. DKIM_KEY_sales.renovations.com=sales4321
DKIM_키_<domain> =<selector> ,<selector> 사용자가 지정된 도메인에서 메시지를 보내는 경우 두 개의 선택기로 지정된 두 개의 키로 메시지에 서명합니다.
이 시나리오는 다음에 유용합니다:
  • 새 키가 DNS로 전파되는 동안 키 롤오버 전환 중에 이전 키와 새 키 모두로 서명할 수 있도록 허용합니다.
  • 여러 서명 알고리즘을 사용합니다.
 DKIM_KEY_renovations.com=09262021,10042021
DKIM_키_<aliasdomain> =<domain> ;<selector> 사용자가 별칭 도메인(기본 도메인이 아닌 도메인)에서 메시지를 보내는 경우, 해당 메시지는 기본 도메인의 선택자에 해당하는 키로 서명됩니다. DKIM_KEY_aliasrenovations.com=renovations.com;09262021

DKIM 서명 활성화

도메인을 키에 매핑하기 위해 DKIM_KEY 설정을 구성한 후 다음 추가 설정을 지정하여 DKIM 서명을 활성화합니다. 라우터가 실행 중이고 라우터를 다시 시작할 필요가 없는 동안 DKIM 서명을 활성화하거나 비활성화할 수 있습니다. 
RouterDKIMSigning=<value>
어디 <value> 다음 값 중 하나입니다.
  • 1 이 옵션은 발신자 도메인에 서명 키가 지정된 경우 메시지에 서명하려고 최선을 다합니다. 서명 오류가 발생하면 오류가 기록되지만 메시지는 서명되지 않은 상태로 전달됩니다.
  • 2. 이 옵션은 DKIM 서명을 강제로 적용합니다. 발신자 도메인에 서명 키가 지정되어 있고 서명 오류가 발생하면 오류가 기록되고 메시지가 전송되지 않습니다. 전송하는 사용자는 미배달 보고서를 받습니다.