DKIMの複数ドメイン対応と作成者署名,第三者認証(CentOS7.2+Postfix+OpenDKIM)

Postfix, OpenDKIMはインストール済み、firewallも適切に設定済みであると仮定。

鍵ペアの作成

※複数のドメインを異なるキーペアで認証する場合は上記を繰り返し、必要数分キーペアを作成する。ドメインが異なればセレクタ名は同じでも大丈夫だが、混乱を避けるため変えてもよいと思う。

OpenDKIMの設定

1つのドメインしか扱わない場合

複数のドメインを扱うが、すべて同じキーペアを使う場合

複数のドメイン、複数のキーペアを扱う場合

※上から順に処理されるので、ワイルドカード(ex: *@*, *@*.example.com, *@sub.*)を使うとその下の行は無効になる。ドメインを明示的に指定する場合はワイルドカード行の上に書いておく。

 

キーペアの公開鍵を取得

公開鍵をDNSに登録

①FROMドメインが“example.com”で“example.com”の署名を使い作成者認証する場合は、”example.com”のDNSサーバに公開鍵を登録。

項目
Name selector._domainkey
Type TXT
Value “v=DKIM1; k=rsa; p=MIGfMA0GCS…”

ポリシーが登録されてなければポリシーも登録。

項目
Name _policy._domainkey        
Type TXT
Value “t=y; o=~”
項目
Name _domainkey            
Type TXT
Value “t=y; o=~”

②~③FROMドメインが”hoge.com”で“hoge.com”の署名を使い作成者認証する場合は、”hoge.com”のDNSサーバに公開鍵を登録。

FROMドメインが”任意のドメイン”で“example.com”の署名を使い作成者認証する場合は、任意ドメインのDNSサーバに公開鍵を登録。

⑤~⑥FROMドメインが”fuga.com”で“example.com”の署名を使い第三者認証する場合は“example.com”ドメインのDNSサーバに公開鍵を登録。

⑦FROMドメインが”任意のドメイン”で“dkim.example.com”の署名を使い第三者認証する場合は“dkim.example.com”ドメインのDNSサーバに公開鍵を登録。

項目
Name selector_common._domainkey.dkim
Type TXT
Value “v=DKIM1; k=rsa; p=MIGfMA0GCS…”
項目
Name _policy._domainkey.dkim     
Type TXT
Value “t=y; o=~”
項目
Name _domainkey.dkim         
Type TXT
Value “t=y; o=~”

レコード返却の確認

Postfixの設定

サービス再起動

確認

Gmailが一番わかりやすいので、Gmailでテスト

受信したメールで、DKIMがPassで、ヘッダが以下のようになってればOK。

作成者認証の場合

DKIMSignature: (~略~)
d=example.com;
s=selector;
b=xdIeG4cUHIBhU0nix2V5tK9Z
(~略~)
From: <someone@example.com>        

第三者認証の場合

DKIMSignature: (~略~)
d=example.com;
s=selector;
b=xdIeG4cUHIBhU0nix2V5tK9Z
(~略~)
From: <someone@hoge.com>        

 

参考サイト)