|
DKIM-подписи |
    |
|
DKIM-подписи |
|
На этой вкладке собраны элементы управления, с помощью которых вы можете: разрешить или запретить создание электронных подписей для исходящих сообщений; определить, какие именно сообщения должны подписываться; а также выбрать тип подписи (DK и/или DKIM). Здесь же вы можете сгенерировать дополнительные пары общих (открытых) и частных (закрытых) ключей шифрования (т.н. селекторы), отвечающие спецификациям DK и DKIM. По умолчанию используется селектор «MDaemon», открытый и закрытый ключи которого автоматически создаются при установке сервера MDaemon. Все ключи шифрования являются уникальными — они никогда не совпадают для двух сайтов, даже если названия соответствующих селекторов полностью идентичны. По умолчанию MDaemon создает 1024-битные ключи шифрования.
DKIM/DomainKeys-подписи
Подписывать исходящие с помощью DomainKeys
Включите эту опцию, если MDaemon должен снабжать исходящие сообщения электронной подписью DomainKeys. Подпись формируется только для тех сообщений, которые были приняты в ходе сеансов, авторизованных по команде AUTH, и соответствуют критериям, заданным в окне, которое открывается нажатием кнопки Определить, какие сообщения разрешено подписывать. Кроме того, электронная подпись может создаваться фильтром содержания с помощью действия "Sign with DomainKeys selector...".
Подписывать исходящие сообщения с помощью DKIM (Идентифицированных Почтовых КлючейДомена)
Включите эту опцию, если хотите снабжать исходящие сообщения электронной подписью DomainKeys Identified Mail. Подпись формируется только для тех сообщений, которые были приняты в ходе сеансов, авторизованных по команде AUTH, и соответствуют критериям, заданным в окне, которое открывается нажатием кнопки Определить, какие сообщения разрешено подписывать. Кроме того, электронная подпись может создаваться фильтром содержания с помощью действия "Sign with DKIM selector...".
... подписывать сообщения рассылки
Включите эту опцию, если требуется подписывать все сообщения, отправляемые списками рассылки. В этом случае вам не нужно создавать дополнительные критерии для таких сообщений с помощью кнопки Определить, какие сообщения разрешено подписывать".
|
|
Электронные подписи для списков рассылки создаются фильтром содержания, который обрабатывает каждое отправляемое письмо в индивидуальном порядке. Поэтому подпись больших и активно используемых списков рассылки может снизить производительность почтового сервера.. |
Дешифратор по умолчанию
Этот элемент управления предназначен для выбора пары ключей шифрования, которую вы хотите использовать по умолчанию при формировании электронных подписей. Для создания новой пары ключей введите в этом поле имя нового селектора и нажмите кнопку "Создать новые открытые или индивидуальные ключи". Если часть сообщений должна подписываться ключами, отличными от ключей по умолчанию, опишите такие сообщения в окне, которое вызывается нажатием кнопки "Определить, какие сообщения разрешено подписывать", либо создайте для них соответствующее правило в фильтре содержания с использованием действия "Sign with DKIM selector..." или "Sign with DomainKeys selector...".
Удалить этот дешифратор
Нажмите эту кнопку для удаления дешифрато и следуйте экранными инструкциям.
Создать новые открытые или индивидуальные ключи
Нажмите эту кнопку, чтобы сгенерировать открытый и закрытый ключи для выбранного чуть выше селектора. После генерации ключей MDaemon сформирует, сохранит на диск и выведет на экран текстовый файл, dns_readme.txt, содержащий образцы TXT-записей, которые вы должны разместить на сервере DNS для обнародования открытого ключа указанного селектора и своей политики DK/DKIM, которая определяет, подписываете ли вы все сообщения или только те, что отправляются от имени вашего домена, и является ли электронная подпись для отправляемых вами сообщений обязательной. Файл содержит примеры DNS-записей на периоды тестовой и промышленной эксплуатации политик DK/DKIM или указанного селектора, которые легко отличить по заголовкам «Testing» и «Not testing».
Все ключи шифрования хранятся в формате PEM и размещаются в папках следующего вида:
\MDaemon\Pem\<Selector>\rsa.public – открытый ключ селектора;
\MDaemon\Pem\<Selector>\rsa.private – закрытый ключ селектора.
|
|
Файлы ключей хранятся на жестком диске в незашифрованном виде, поэтому вы должны принять все меры, чтобы защитить их от несанкционированного доступа средствами операционной системы.. |
Определить, какие сообщения разрешено подписывать
Если вы включили хотя бы одну из расположенных на этой вкладке опций Подписывать исходящие сообщения..., нажмите эту кнопку, чтобы открыть окно редактирования файла DKSign.dat, который содержит перечень почтовых доменов и адресов, требующих электронной подписи сообщений. Каждая запись в этом перечне начинается с имени служебного заголовка сообщения (To, From, Reply-To, Sender и т.д.), за которым через пробел указывается электронный адрес. Запись также может содержать имя селектора, который должен применяться при создании электронной подписи. Кроме того, вы можете использовать в записи опциональный тег «d=», чтобы включать в заголовок электронной подписи имя подписывающего домена. Это может быть полезно при наличии дочерних доменов, отправляющих подписанные сообщения. Приняв такое сообщение с ключом «d=», сервер-получатель запрашивает ключи DK/DKIM не того домена, с которого было отправлено письмо, а домена, сформировавшего электронную подпись сообщения. В результате, вы избавляетесь от необходимости создавать отдельные DNS-записи и публиковать открытые ключи для каждого дочернего домена. В именах почтовых доменов и адресов разрешается использовать подстановочные знаки.
Все сообщения из локальных доменов могут получить подпись
Включите эту опцию, если хотите разрешить вставку подписей во все сообщения из своих локальных доменов. При включении этой опции вам не придется вносить свои локальные домены в список разрешений (т.е. в файл DKSign.dat), если только вы не хотите назначить специальный селектор или тег “d=” для подписывания сообщений некоторых доменов. По умолчанию эта опция включена.
См. также:
