AnonAddy项目中关于DKIM密钥长度的技术解析

背景介绍

在电子邮件安全领域，DKIM（DomainKeys Identified Mail）是一种重要的认证机制，它通过数字签名验证邮件确实来自声称的发件人，并且在传输过程中未被篡改。AnonAddy作为一款开源的邮件转发服务，其文档中原本建议用户使用2048位的DKIM密钥进行配置。

问题发现

有用户在实际部署AnonAddy时发现，虽然系统可以正常工作，但来自Google的DMARC报告却显示验证失败。经过调查，发现这与Google对DKIM密钥长度的特殊要求有关。Google明确指出，在TXT记录中直接使用2048位密钥可能会遇到255字符的长度限制问题，导致密钥被截断或记录顺序错误。

技术分析

DNS记录长度限制

DNS的TXT记录确实存在单字符串255字符的限制。对于较长的DKIM密钥（如2048位），直接作为单个字符串存储会超出这一限制。这可能导致：

1. 密钥被截断，验证失败
2. DNS服务器可能以错误顺序返回记录片段
3. 接收方无法正确重建完整的公钥

解决方案

实际上，这个问题可以通过正确的DNS记录格式来解决，而不必降低密钥强度：

1. 多字符串分割：将长密钥分割为多个不超过255字符的字符串片段
2. 引号使用：每个字符串片段用引号包围
3. 正确顺序：确保片段按正确顺序排列

例如，一个长DKIM记录可以这样表示：

"v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA..." 
"uQIDAQAB"

最佳实践建议

1. 密钥长度选择：

   • 1024位：兼容性最好，但安全性较低
   • 2048位：推荐的安全强度，需正确处理DNS记录
   • 4096位：最高安全性，但需要更复杂的DNS配置

2. 部署建议：

   • 优先考虑2048位密钥，平衡安全性与兼容性
   • 确保DNS提供商支持长TXT记录的正确分割
   • 部署后使用DKIM验证工具进行检查

3. AnonAddy配置：

   • 文档应更新说明不同密钥长度的注意事项
   • 提供2048位密钥的DNS记录配置示例
   • 强调验证步骤的重要性

总结

虽然Google的文档提到了2048位DKIM密钥可能带来的问题，但这并不意味着必须降级到1024位。通过正确的DNS记录分割技术，完全可以安全地使用2048位甚至更长的DKIM密钥。AnonAddy用户应根据自身安全需求和DNS提供商的能力，选择适当的密钥长度和配置方式。