opendkim-testkey: clave no segura

tag-icon tag-icon dkim dnssec opendkim
opendkim-testkey: clave no segura

Configuré Opendkim milter para que funcione con postfix en mi máquina. Ahora el correo electrónico está firmado y verificado correctamente, es decir, el código fuente del correo electrónico muestra DKIM-Signatureel encabezado.

TXTEl registro en el DNS autorativo se configura así:

┌───┐
│ # │ root > server > ~
└─┬─┘
  └─> delv -t txt dkim-domain._domainkey.domain.eu
...
...
dkim-domain._domainkey.domain.eu. 1780 IN TXT   "v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA8drA4hH8gJaVpLaHhtQonhpOeanMo/oPmrAVehP3lBYAjsoxifCIclLqJo7kk0maelqu9SIN9ttQ0boCzEiQBMO1" "c1P+Sj/PxphZB71c8VNhqMJ32VG6Ky3ZD4Tds39Vye/wsWdi+842MUT3Z2dJnxS2AAG4pSkjaytFPCs0J94OUQC0tDErbnsMZh+gg+7IsYgND8FR/cRDzpXjD0qFJk4Cnc1q27WorPAGAiRsRfLt9u" "gkYgQRwapnofmKJ3hk/L8096YR7gan60L4+RGojsx5ppTdIEhYasyK9MokefmVeNyGwVXTJchqG8vhcg9uGjGy9mPiPg4B2TQgEBPwyQIDAQAB"
...
...

A primera vista todo está bien, pero cuando ejecuto los diagnósticos en mi máquina dice esto:

┌───┐
│ # │ root > server > ~
└─┬─┘
  └─> opendkim-testkey -d domain.eu -s dkim-domain -vvv

opendkim-testkey: using default configfile /etc/opendkim.conf
opendkim-testkey: checking key 'dkim-pistam._domainkey.pistam.eu'
opendkim-testkey: key not secure
opendkim-testkey: key OK

Tenga en cuenta la key not securerespuesta. leí deesta respuestaesa advertencia existe porque DNSSEC no está habilitado. Pero DNSSEC para mi dominio domain.euestá habilitado. de acuerdo con laDNSViz.

AGREGAR:

Puede ser que el tema al que vinculé anteriormente sea engañoso, porque luego leí una respuesta.aquí, lo que sugiere que la advertencia se debe a privilegios demasiado permisivos con respecto al par de claves. Configuré los derechos de usuario en el par de claves y su carpeta de esta manera:

┌───┐
│ # │ root > server > ~
└─┬─┘
  └─> ls -l /etc/opendkim/keys/
total 8
-rw------- 1 opendkim opendkim 1675 Dec 30 08:45 dkim-rsa-private.key
-rw------- 1 opendkim opendkim  451 Dec 30 08:46 dkim-rsa-public.key

┌───┐
│ # │ root > server > ~
└─┬─┘
  └─> ls -ld /etc/opendkim/keys/
drwx------ 2 opendkim opendkim 4096 Jan  1 07:18 /etc/opendkim/keys/

Entonces debería ser seguro... Pero no lo es.

Respuesta1

Como también se explica en miotra respuesta, key not secureen este contexto indica que OpenDKIM no pudo autenticar la clave mediante DNSSEC.

Debe asegurarse de que OpenDKIM pueda utilizar DNSSEC. Por ejemplo, en Debian y Ubuntu, el archivo /etc/opendkim.conf predeterminado contiene la siguiente configuración, que habilita las capacidades DNSSEC:

TrustAnchorFile /usr/share/dns/root.key

información relacionada