opendkim-testkey:密钥不安全

Question

我设置了Opendkim milter与后缀在我的机器上工作。现在，电子邮件是正确的签名和验证，即电子邮件源代码显示DKIM-Signature头。

授权dns上的TXT记录设置如下：

┌───┐
│ # │ root > server > ~
└─┬─┘
  └─> delv -t txt dkim-domain._domainkey.domain.eu
...
...
dkim-domain._domainkey.domain.eu. 1780 IN TXT   "v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA8drA4hH8gJaVpLaHhtQonhpOeanMo/oPmrAVehP3lBYAjsoxifCIclLqJo7kk0maelqu9SIN9ttQ0boCzEiQBMO1" "c1P+Sj/PxphZB71c8VNhqMJ32VG6Ky3ZD4Tds39Vye/wsWdi+842MUT3Z2dJnxS2AAG4pSkjaytFPCs0J94OUQC0tDErbnsMZh+gg+7IsYgND8FR/cRDzpXjD0qFJk4Cnc1q27WorPAGAiRsRfLt9u" "gkYgQRwapnofmKJ3hk/L8096YR7gan60L4+RGojsx5ppTdIEhYasyK9MokefmVeNyGwVXTJchqG8vhcg9uGjGy9mPiPg4B2TQgEBPwyQIDAQAB"
...
...

所以乍一看，一切都没问题，但是当我在我的机器上运行诊断时，它说：

┌───┐
│ # │ root > server > ~
└─┬─┘
  └─> opendkim-testkey -d domain.eu -s dkim-domain -vvv

opendkim-testkey: using default configfile /etc/opendkim.conf
opendkim-testkey: checking key 'dkim-pistam._domainkey.pistam.eu'
opendkim-testkey: key not secure
opendkim-testkey: key OK

注意key not secure的答案。我从这个答案上读到，存在警告是因为DNSSEC没有启用。但是为我的域domain.eu启用了DNSSEC。根据DNSViz的说法。

ADD:

可能我之前链接到的主题是错误的，因为我后来读到了一个答案这里，这表明警告是由于对密钥对的权限太宽松所致！我对密钥对和它们的文件夹设置了如下用户权限：

┌───┐
│ # │ root > server > ~
└─┬─┘
  └─> ls -l /etc/opendkim/keys/
total 8
-rw------- 1 opendkim opendkim 1675 Dec 30 08:45 dkim-rsa-private.key
-rw------- 1 opendkim opendkim  451 Dec 30 08:46 dkim-rsa-public.key

┌───┐
│ # │ root > server > ~
└─┬─┘
  └─> ls -ld /etc/opendkim/keys/
drwx------ 2 opendkim opendkim 4096 Jan  1 07:18 /etc/opendkim/keys/

所以应该是安全的..。但事实并非如此。

Answer 1

正如我的其他答案中所解释的，这个上下文中的key not secure表示OpenDKIM无法使用DNSSEC对密钥进行身份验证。

您必须确保OpenDKIM可以使用DNSSEC。例如，在Debian和Ubuntu上，默认的/etc/opendkim.conf文件包含以下设置，它支持DNSSEC功能：

TrustAnchorFile /usr/share/dns/root.key