<TMPL_VAR NAME='pagetitle'>

Automatische Rotation von DKIM-Schl�sseln

von Stefan Neben (Immobilien Scout GmbH)

Das Verfahren Domainkeys Identified Mail (DKIM) basiert auf asymmetrischer Verschl�sselung. Die E-Mail wird mit einer Digitalen Signatur versehen, die der empfangende Server anhand des �ffentlichen Schl�ssels, der im Domain Name System (DNS) der Dom�ne verf�gbar ist, verifizieren kann. Schl�gt dies fehl, hat der empfangende Mail Transfer Agent (MTA) oder das empfangende Anwendungsprogramm die M�glichkeit, die E-Mail zu verweigern oder auszusortieren.

Admins w�nschen sich eine System-Landschaft mit einem hohen Automationsgrad: Einmal angeworfen, soll die Maschinerie laufen. Eingriffe sollen nur n�tig sein, wenn sich die Struktur ver�ndert. Das IS24-System-Engineering-Team hat vor kurzem ein spannendes Projekt zur automatischen Rotation von DKIM-Schl�sseln erfolgreich beendet, das nun ein St�ck dieser automatisierten System-Landschaft darstellt.

Dieser Ablauf wurde n�tig, um den Zugriff auf sensible Elemente zu erneuern, wenn Mitarbeiter das Unternehmen verlassen. Das betrifft besonders Passw�rter und Schl�ssel. Diese Aufgabe ist unliebsam und z�gert sich daher in der Regel hinaus, wenn sie �berhaupt passiert. Zus�tzlich m�ssen Admins im Falle einer Kompromittierung schnell handeln! Eine bestehende Automation, die nur �ber einen Kommandozeilen-Aufruf getriggert werden kann, spart auch hier Zeit und vor allem Nerven.

Bezogen auf DKIM stellen sich mehrere Herausforderungen: Wie stelle ich sicher, das keine fehlerhaften Konfigurationen auf den Zielsystemen landen? Wie konstruiere ich alles, das ein durch Tests abgebrochender Rollout-Vorgang nicht das produktive Setup negativ beeinflusst?

Vergleichbares Testen kann nur mit produktiven DNS TXT-Records stattfinden. Wie stelle ich (nat�rlich voll automatisiert) sicher, das zum Zeitpunkt des Integrationstests ein produktiver und entsprechender DNS TXT-Record besteht? Mails k�nnen (per default drei) Tage signiert in der Mail-Queue h�ngen. Was kann passieren, wenn eine Schl�ssel-Rotation genau in dieser Zeit stattfindet und wie kann ich das verhindern?

Der Vortrags erl�utert, wie das Beispiel-Setup mittels Postfix, OpenDKIM und Milter betrieben wird. Ein Cron-Aufruf triggert ein Python-Skript, das seinerseits dazu die Schl�ssel erzeugt. Die generierten Schl�ssel liegen dazu im SVN und werden per RPM-Paket auf die jeweiligen Systeme gebracht. Fehlertoleranz schaffen ein Paket-Staging �ber verschiedene Repositorys, und Integrationstests mit dem frisch erstellten Schl�ssel-RPM. Dazu sendet ein Python-Skript sendet eine Nachricht per E-Mail an den Test-MTA, der signiert sie und sendet sie an einen Blackhole Postfach-Server. Schlie�lich holt das selbe Python-Skript diese Nachricht wieder ab und validiert die DKIM-Signatur.

Ein Fehler stoppt das Propagieren des RPM-Pakets, ansonsten rollt der Prozess es auf dem Ziel-System aus. Weiterhin ist die L�sung in das Nagios-Monitoring eingebunden, das kontinuierlich die Fehlerfreiheit der produktiven Signierung �berpr�ft. Dazu setzt das Team Bind als DNS-Server ein. Alle erw�hnten Python-Skripte werden in K�rze auf Github ver�ffentlicht.

Über den Autor Stefan Neben:

Stefan Neben finished his Master in Information Technology in 2008. He started to work at Heinlein Professional Linux Support GmbH in 2008. There he worked as Administrator for the productive Mail-Servers, gives Courses about linux essentials and bash scripting and act as a system integrator for the Heinlein-Mailappliance. Further he authored the initial Heinlein-Mailtrace-Daemon in perl.

In 2012 he changed to Immobilienscout24, were he worked in the system engineering team untli today. The main goal is to create a fully automated datacenter in every aspect. To reach this a wide range of topics have to be handled (VM provisioning, configuration management, monitoring, infrastructure testing, much scripting, ...). And the work is still going on ...