Automatische Rotation von DKIM-Schlüsseln

"DomainKeys basiert auf asymmetrischer Verschlüsselung. Die E-Mail wird mit einer Digitalen Signatur versehen, die der empfangende Server anhand des öffentlichen Schlüssels, der im Domain Name System (DNS) der Domäne verfügbar ist, verifizieren kann. Schlägt dies fehl, hat der empfangende Mail Transfer Agent (MTA) oder das empfangende Anwendungsprogramm die Möglichkeit, die E-Mail zu verweigern oder auszusortieren." [Quelle: http://de.wikipedia.org/wiki/DomainKeys]

Verlassen Mitarbeiter das Unternehmen, müssen sensible Elemente, auf welche diese Zugriff hatten, erneuert werden. Das betrifft besonders Passwörter und Schlüssel (in diesem Fall die DKIM-Schlüssel). Diese Aufgabe ist unliebsam und zögert sich daher in der Regel hinaus, wenn sie überhaupt passiert. -- Aber was ist im Falle einer Kompromittierung? Es muss schnell gehandelt und die betroffenen DKIM-Schlüssel müssen ausgetauscht werden!

Eine bestehende Automation, die nur über einen Kommandozeilen-Aufruf getriggert werden kann, spart auch hier Zeit und vor allem Nerven! Dieser Vortrag vermittelt die grundlegende Funktionsweise von DKIM, sowie die Herangehensweise bei Immobilienscout24 zur automatischen Rotation dieser. Hierbei wird der Fokus auf die Absicherung durch Tests (Aufbau eines Mail-Test-Setups), dem anschließenden Monitoring der Funktionalität sowie des Rollouts auf dem finalen System gelegt.

Referent:

Stefan Neben begann 2008 seine Arbeit bei der Heinlein Professional Linux Support GmbH. Dort baute er sein Wissen über Mail-Systeme grundlegend auf und war u.a. mit der Administration dieser vertraut. Darüber hinaus übernam er die Aufgabe als Dozent für die Kurse "Linux Admin Grundlagen" sowie "Bash-Scripting", arbeitetete als System-Integrator für die Heinlein-Mail-Appliance und entwickelte den Mailtrace-Daemon. Ab 2012 wechselte er zur Immobilien Scout GmbH und arbeitet dort bis heute im System-Engineering Team. Das erklärte Ziel bei Immobilienscout24 ist es ein voll automatisiertes Rechenzentrum zu erstellen. Um dieses Ziel zu erreichen, müssen eine große Anzahl an Themen betrachtet werden (VM-Provisionierung, Konfigurationsmanagement, Testen der Infrastruktur(komponenten), Scripting der Komponenten in Bash & Python, u.v.m.). Es wurden bereits sehr große Fortschritte erzielt, aber die Arbeit geht nach wie vor weiter ...