Включаем DKIM в Office 365


01Сегодня в номере: получил я недавно письмо- а как все-таки включить DKIM в Office 365? Включается очень несложно, нам понадобится всего два командлета, и по две CNAME записи для каждого домена, который мы хотим подписывать цифровой подписью. Кто не знает зачем это нужно- рекомендую обратиться к прошлому номеру, где разоблачались все подробности DMARC.

 

  1. (Необязательно) New-DkimSigningConfig -DomainName razbornov.ru -Enabled $False

Снимок

2. Смотрим на записи, созданные для домена, который будем подписывать: Читать далее

DMARC, DKIM и все-все-все


Сходил на встречу Московского MCP клуба и рассказал о том, как сейчас обстоят дела с DMARC и DKIM в современных почтовых системах.

Спасибо всем, кто дошёл и был на трансляции.

Update: Слайды презентации здесь: dmarc

Запись выступления ниже

itproug_151029_01_cover

Снимок

По теме ранее:

Создаем цифровую подпись Dkim в Exchange 2013

Создаем цифровую подпись Dkim в Exchange 2013


Внимательный администратор, обеспокоенный проблемой спама давно зарегистрировал запись SPF, и внимательно поглядывал, как она устроена у других, для собственного интереса.

Не так давно еще крупные игроки использовали мягкую политику записей, т.н. soft fail.

«By contrast, Microsoft uses a soft fail. Many third-party vendors who send email messages on behalf of Microsoft for surveys, newsletters, and so on are outside the SPF record that Microsoft uses. Because Microsoft does not own that IP space but still wants those organizations to be able to send email messages on behalf of Microsoft, Microsoft uses a soft fail.»

Цитата из

https://support.microsoft.com/en-us/kb/2640313

А самые внимательные администраторы наверное заметили изменение, произошедшие в этом плане в 2015 году- хотя статья  заливает заявляет про soft fail, на самом деле политика в начале года слегка ужесточилась в сторону reject. И еще добавилась цифровая подпись для сообщений. На outlook.com политика пока мягче, поскольку значительно используется пересылка почты, которая reject не любит.

Снимок

Еще одно изменение- появилась цифровая подпись у писем, о чем говорит наличие открытого ключа в той же TXT записи.

Итак, внимательный администратор, который во всем равняется на Microsoft, наверняка тоже захочет сделать себе замечательную цифровую подпись для сообщений после знакомства с содержимым статьи.

Цифровая подпись

DKIM (Domain Keys Identified Mail) — технология удостоверения подлинности отправителя при помощи цифровой подписи, связанной с именем домена. Наличие данной подписи подтверждает, что письмо не было перехвачено и изменено после отправки с почтового сервера отправителя.

Цифровая подпись предназначена для определения достоверности электронного письма и служит для борьбы со спамом и фишингом.Письма получают цифровую подпись на почтовом сервере отправителя. Сам отправитель установить подпись не может, если только он не является администратором того сервера, с которого отправляется письмо.

Если на странице чтения письма в поле От кого вы видите серый значок Цифровая подпись не является достоверной, рекомендуется с осторожностью отнестись к содержанию письма.

Не так давно еще цифровую подпись в Exchange можно было установить решениями сторонних поставщиков, что не все могли оценить по достоинству. Сообществом однако предлагался проект OpenDKIM, который после постукивания молотком тоже был вполне хорош, и годился для цифровой подписи электронных писем.

Сегодня я бы хотел поговорить о проекте dkim-exchange,который не требует Linux решений и финансовых затрат.

Решение построено на базе транспортного агента, устанавливающегося в дополнение к остальным агентам транспорта, и оказывается проще простого в установке и применении. Итак, скачиваем дистрибутив.

Внимательно смотрим справку и содержимое.

Программа состоит из конфигурационного файла  configuration-dkimsigner-exe-config, в формате xml, в который записываются настройки, и файла программы, запустим его, открыв EMS с повышенными привилегиями, и запустив Configuration.DkimSigner.exe

Убедимся также, что политика разрешает выполнение скриптов

Set-ExecutionPolicy Unrestricted

dkim1

Особенных трудностей интерфейс не составляет, и для тех, кто желает, можно делать все скриптом, не пользуясь мастером. Читать далее