ドメイン fsij.org からの email について書き留めます。
ドメイン fsij.org から出るメールは DKIM の電子署名を付けるようにしています。
DMARC に関する設定
fsij.org では、DMARC の設定として下記のエントリを DNS レコードに追加しています。
_dmarc TXT 10800 "v=DMARC1; p=reject; adkim=s"
DKIM に関する設定
Exim4 の設定追加のための Ed25519 の鍵を作成
電子署名をするための鍵を作ります。
$ certtool --generate-privkey --key-type=ed25519 \ --outfile=dkim.private.key
このファイルが Exim4 で使われます。そして
$ certtool --load-privkey=dkim.private.key \ --pubkey-info --outder | tail -c +13 | base64
この出力を DNS のレコードでのエントリに使います。
DNS のレコードでのエントリを追加
fsij.org では、セレクタ haruna のために下記のエントリを追加しています。
haruna._domainkey TXT 10800 \
"v=DKIM1; k=ed25519; h=sha256; p=DS7LXxFHv2BTAE5G11wR6D5HdqqDScRoDYdRBJdgkDg="
Exim4 の設定追加
Debian の exim4 の設定で /etc/exim4/conf.d/main/000_localmacros_haruna の中に下記の設定を追加しています。
# DKIM_DOMAIN=fsij.org DKIM_SELECTOR=haruna DKIM_PRIVATE_KEY=CONFDIR/dkim.private.key
この詳細は Exim4 のマニュアルで 58.2 Signing outgoing messages を参照してください。