采用 Ed25519 的 DKIM 签名
💡
原文中文,约1600字,阅读约需4分钟。
📝
内容提要
Ed25519是一种高性能的公钥签名系统,与RSA相比,密钥长度更短且验证速度更快。然而,主要的邮件服务提供商如Gmail、Outlook.com和iCloud仍不支持验证Ed25519 DKIM签名。作者决定从今天开始将自己域名发出的邮件同时采用RSA和Ed25519签名,直到主要邮件服务提供商支持为止。
🎯
关键要点
- Ed25519是一种高性能的公钥签名系统,密钥长度短且验证速度快。
- 主要邮件服务提供商如Gmail、Outlook.com和iCloud尚不支持Ed25519 DKIM签名。
- 作者决定同时采用RSA和Ed25519签名,直到主要邮件服务提供商支持为止。
- 同时采用RSA和Ed25519签名可以让只支持RSA签名的邮件运营者正确验证邮件。
- 采用双重签名会增加邮件尺寸和DNS流量,但作者认为有必要推动互联网巨头面对现实。
- 作者使用dkimpy-milter进行邮件签名,其开发活跃于OpenDKIM。
- 生成签名用的密钥对时,需注意Ed25519公钥长度短,不受TXT记录字符限制影响。
- 更新域名的DNS zone时,建议暂时保留旧的公钥以便回退。
- dkimpy-milter.conf配置包括域名、RSA和Ed25519的私钥及selector等信息。
- 启动后需修改Postfix的master.cf以配置smtpd_milters。
➡️
