Допустим, мой домен - example.com, и у нас есть записи SPF для SMTP-серверов на example.com. Теперь допустим, я решил, что хочу разрешить example.org отправлять почту как example.com.Я знаю как добавить example.org в SPF, но если бы я хотел также использовать DomainKeys или DKIM для аутентификации example.org, ключи должны были бы находиться в example.com или example.org? Например,
Я бы использовал:
_domainkey.example.com. IN TXT "t=y\; o=~\;"
xxxxxxx._domainkey.example.com. IN TXT "k=rsa\;
p=xxxxxxxxxxx
или
_domainkey.example.org. IN TXT "t=y\; o=~\;"
xxxxxxx._domainkey.example.org. IN TXT "k=rsa\;
p=xxxxxxxxxxx
Также,
1) Кто генерирует ключи? example.com или example.org? (Я почти уверен, что example.org сделает ключи, а затем отправит нам публикацию для DNS, но не уверен)
2) Нужны ли мне и SPF, и ключи, или одних ключей будет достаточно для аутентификации другого домена и разрешения ему пройти аутентификацию? (Я нахожусь в положении, когда я хотел бы использовать только ключи)
3) Какой лучше использовать с точки зрения проверки провайдера? Например, проверяют ли провайдеры ключи столько же, сколько они SPF?
Как отправитель электронной почты, правильная настройка вашего сервера имеет большое значение для установления авторитета / доверия. Сейчас почти вся оценка автоматизирована, и многие организации выбирают то, что публикуют. Большинство подключений к моему серверу явно спам.
1) Кто генерирует ключи? example.com или example.org? (Я почти уверен, что example.org сделает ключи, а затем отправит нам публикацию для DNS, но не уверен)
Вы можете использовать существующий ключ для подписи для обоих доменов. Хитрость заключается в том, чтобы подписать электронное письмо, используя правильного подписывающего лица. Я извлекаю домен из адреса отправителя и подписываюсь под этим доменом.
Совершенно приемлемо иметь несколько активных открытых ключей с разными селекторами. Во время замены ключа вы захотите, чтобы старый и новый ключи были активными. Ключи необходимо периодически менять.
Если вы действуете как сервер ретрансляции и example.org подписывают, им необходимо сгенерировать ключ, который они используют. Тот, кто поддерживает DNS для подписывающего домена, должен будет добавить открытый ключ для селектора, используемого для подписи сообщений.
Безопаснее всего сгенерировать ключ на сервере подписи. Это избавит от необходимости иметь закрытый ключ где-либо еще. Открытый ключ является открытым и будет опубликован, поэтому его не нужно защищать.
Многие крупные организации не публикуют свои открытые ключи. Я благодарю вас за ваши усилия, чтобы сделать это правильно.
2) Нужны ли мне и SPF, и ключи, или одних ключей будет достаточно для аутентификации другого домена и разрешения ему пройти аутентификацию? (Я нахожусь в положении, когда я хотел бы использовать только ключи)
И SPF, и DKIM не являются обязательными, но они помогают отличить ваш сервер от спам-бота. Я рекомендую использовать SPF для всех доменов. Это может быть так просто, как v=spf1 a mx -all для доменов, отправляющих электронную почту, v=spf1 a -all для почтовых серверов, и v=spf1 -all для всех остальных доменов.
3) Какой лучше использовать с точки зрения проверки провайдера? Например, проверяют ли провайдеры ключи столько же, сколько они SPF?
SPF более надежен, но я считаю, что большинство крупных сайтов проверяют и DKIM, и SPF. Пропуск со строгой политикой SPF - хороший показатель того, что электронное письмо является действительным. По моему опыту, SPF используется многими организациями для оценки сообщений.
Для почтовых серверов я откладываю прием сообщений, если: нет политики SPF ни для домена почтового сервера, ни для его родительского домена; или SPF проходит проверку SPF для своего домена или его родительского домена. Мягкие проходы считаются неудачными.
Как я уже отмечал, многие крупные организации не смогли опубликовать открытый ключ DKIM. В результате я сомневаюсь, что отказ от DKIM сам по себе вызовет серьезные проблемы. Действительная подпись DKIM действительно помогает завоевать доверие. Однако, если вы опубликовали запись DMARC, может применяться ее политика.
Публикация записи DMARC для домена позволяет сделать политики подписи SPF и DKIM доступными для автоматической проверки. DMARC позволяет принимающему серверу отправлять вам подробную информацию о том, откуда приходит электронная почта для ваших доменов и как они обрабатывались. И Gmail, и Yahoo присылают мне отчеты. Начните с политики «только уведомления», пока не убедитесь, что ваша почта правильно подписана и SPF работает.