后缀OpenDKIM无法签署出站电子邮件

Question

我按照这里的指导原则配置了OpenDKIM：

https://www.linuxbabe.com/mail-server/setting-up-dkim-and-spf

我使用Gmail管理门户中生成的域上已经配置的密钥，而不是生成密钥。

在收到邮件之前，一切看起来都很好，应该进行签名，这时我在日志中得到了以下内容：

Sep 27 15:00:05 kattos opendkim[6210]: 2283C43B35: SSL error:0D0680A8:asn1 encoding routines:ASN1_CHECK_TLEN:wrong tag; error:0D08303A:asn1 encoding routines:ASN1_TEMPLATE_NOEXP_D2I:nested asn1 error; error:0D0680A8:asn1 encoding routines:ASN1_CHECK_TLEN:wrong tag; error:0D07803A:asn1 encoding routines:ASN1_ITEM_EX_D2I:nested asn1 error; error:04093004:rsa routines:OLD_RSA_PRIV_DECODE:RSA lib; error:0D0680A8:asn1 encoding routines:ASN1_CHECK_TLEN:wrong tag; error:0D07803A:asn1 encoding routines:ASN1_ITEM_EX_D2I:nested asn1 error

在使用opendkim-testkey在命令行上测试时，所有的键都可以签出：

root@kattos:~# opendkim-testkey -d myhostedfax.co.uk -s google -vvv
opendkim-testkey: using default configfile /etc/opendkim.conf
opendkim-testkey: checking key 'google._domainkey.myhostedfax.co.uk'
opendkim-testkey: key not secure
opendkim-testkey: key OK

不太确定将与此下一次，并将感谢任何指导。

Answer 1

您必须创建您自己的密钥，才能签署出去的电子邮件，开放任天堂提供了一个密钥生成器(opendkim-genkey)。

我不知道谷歌的管理门户，但如果你控制myhostedfax.co.uk的域名系统，你应该能够将一个公钥放在你的gmail密钥旁边。请注意不要使用与google相同的选择器(也就是说，不要使用"google")，因为这会导致您的电子邮件被错误地标记为更改。

至于密钥，建议不时更换(或旋转)它，我通常每三个月轮换一次键，因为它们通常都很短--很多web接口都有很长的密钥问题，所以经常使用1024位RSA密钥。虽然椭圆密钥-- ed25519 --是DKIM标准所允许的(参见RFC 8463)，但我还没有看到它们的广泛使用，尽管它们明显的优点是密钥长度更短，以达到类似或更好的安全性。