一些签名的具体细节:
1、算法,必须支持rsa-sha256,可选支持rsa-sha1。key size建议1024。
标 准化(Canonicalization). 有的邮件服务器可能会少量修改文件内容,比如换行或者移除一些空格等等。因此DKIM定义了两种2、标准化方法,simple和relaxed。 simple最简单,就是一个字节也不能改,改了就错。relaxed就是可以少量的修改一些空格等等。邮件头和内容这两部分的标准化可以选择不同的方 法,表示起来用/隔开,比如simple/relaxed表示头部用simple方式,内容用relaxed方式来标准化。
3、过 程,签名是先对内容(body)部分hash,然后把这个body hash放在header里面,再对头部做签名。头部也不是所有字段都签名的,只有一些常用的字段,或者比较有意义的,会被签名。像Received和 Return-Path这样的字段一般不被签名。而From则必须被签名。
下面我们来给hmailserver加上DKIM签名,工欲善其事,必先利其器,咱们得把器准备好,hmailserver这个主角可不能少,当然,用其他的邮件服务器也可以参考一下。
Openssl,我们要用它来生成私钥与公钥,在这里下载openssl的windows版本,根据需求吧,64位系统就下64位的,我这里下的是Win32 OpenSSL v1.0.0a,安装这个得先安装Visual C++ 2008 Redistributables,呃,中文windows就下中文的,英文就下英文的,别搞得装不上重下,装好openssl咱就来生成密钥吧。
详情可以参考一下这篇文章
http://www.elandsys.com/resources/sendmail/dkim.html
默认openssl安装在C:\OpenSSL-Win32,按照下面命令生成
cd C:\OpenSSL-Win32\bin
openssl.exe genrsa -out rsa.private 1024 //生成私钥
openssl.exe rsa -in rsa.private -out rsa.public -pubout -outform PEM //生成公钥
然 后会看到bin目录下多了两个文件rsa.private与rsa.public,先把私钥rsa.private移到hmailserver的安装目录 去,然后用记事本打开rsa.public,里面有一串base64编码的字符串,掏出来,然后到域名解析的控制面板去添加一个txt记录,名称为 hmail._domainkey(hmail这个可自定义,后面的_domainkey是必需的),记录值为k=rsa; t=y; p=base64,这个p=后面的base64换成rsa.public里面的那串字符串,添加完txt记录,可以用以下命令来查看一下是否生效了
nslookup
set type=txt
hmail._domainkey.domain.com //domain.com替换为你的域名
如果看到像下面的结果就表示生效了
非权威应答:
s0907._domainkey.qq.com text =
“k=rsa; t=y; p=MHwwDQYJKoZIhvcNAQEBBQADawAwaAJhAJJepXlnnJe5bFumOeyG8v2W8
LFpudv3kOkV3eMapHGkl1TU6hgVCyNSOJgYgQkvozdZRJ5b9d7FJsrEhHbeR+klTcLYCe1u1HP7HbxdU
fDU34szV/Tc0rE125WENSGXlwIDAQAB”
我的ip地址是207.154.202.216
所以我需要在txt添加
v=spf1 ip4:207.154.202.216 -all
注意,不需要填写主机名,那个地方是空,在文本内容,添加上面的内容(v=spf1 ip4:207.154.202.216 -all)
查看添加记录
新网添加的记录是马上生效,不过你需要有点技巧,就可以马上看到结果。
C:\>nslookup
Default Server: gjjdial.bta.net.cn
Address: 202.106.195.68
> server ns.xinnet.cn
Default Server: ns.xinnet.cn
Addresses: 202.10.71.52, 123.100.7.202
> set type=txt
> 18demo.com
Server: ns.xinnet.cn
Addresses: 202.10.71.52, 123.100.7.202
18demo.com text =
"v=spf1 ip4:207.154.202.216 -all"
这就是添加到效果。