Я пытаюсь взвесить, должно ли подписывание DKIM выполняться приложением, отправляющим почту (например, программное обеспечение списка рассылки, которое вы используете), или агентом передачи почты (sendmail, postfix и т. Д.).
Вы знаете какие-нибудь веские аргументы?
Насколько я понимаю, сделать это на MTA, например, с помощью dkim-milter, намного проще.
Однако, если кто-то получит доступ к серверу, даже обычную непривилегированную учетную запись, такую как логин клиента веб-хостинга, он сможет отправить электронную почту с помощью sendmail и получить полное благословение моей подписи DKIM.
Как вы думаете, что лучше всего подходит для моей ситуации? Я использую сервер Debian с apache, postfix, php и mysql и т. Д.
Я считаю, что MTA - это подходящее и разумное место, и его намного проще внедрить и поддерживать. Зачем вам головная боль от попыток сделать это для каждого клиента, даже если этот клиент на это способен?
Я запускаю наш на уровне MTA на нашем SMTP-сервере Windows с этот продукт.
Нам также было намного проще это настроить.
Моя позиция - защитить SMTP-сервер другими мерами защиты (брандмауэр, сегментация сети, ACL и т. Д.). Если кто-то попадает на этот сервер, меня меньше всего беспокоит, рассылается ли СПАМ - мой сервер уже принадлежит кому-то другому :)
Подписи DKIM обычно содержат заголовки, о которых знает только MTA: например; Идентификатор сообщения и полученное.