Я отправляю письма с разными From и Return-Path адреса на разных доменах (для сбора отказов на отдельный почтовый сервер). Например, From: my@example.com и Return-Path: bounces@another-domain-for-bounces.org. Какой из этих доменов следует использовать в подписи DKIM d=xxx?
Я прочитал похожие вопросы и не нашел конкретного ответа.
Tl; dr: Вы должны использовать заголовок From: адрес 'домен для подписи. Вот почему.
Я просмотрел заголовки подписанных писем, отправленных ESP, такими как MailChimp, SendGrid и им подобными. Оказывается, нет никакого практического правила. Некоторые используют From: адрес ', некоторые используют Return Path: домен. Поскольку это не очень удовлетворительное наблюдение, я попытался выяснить, действительно ли это имеет значение на практике.
RFC 4871 В разделе 5.1 говорится:
ИНФОРМАЦИОННОЕ ПРИМЕЧАНИЕ. Модули подписи могут быть включены в любую часть почтовой системы, если это будет сочтено целесообразным, включая MUA, сервер SUBMISSION или MTA. Везде, где это реализовано, подписывающие стороны должны остерегаться подписывать (и тем самым брать на себя ответственность) сообщения, которые могут быть проблематичными. В частности, в доверенном анклаве адрес для подписи может быть получен из заголовка в соответствии с локальной политикой; Серверы SUBMISSION могут подписывать сообщения только от пользователей, которые должным образом аутентифицированы и авторизованы.
Этот текст не навязывает и не предлагает конкретной стратегии. Говоря о проверке подписей DKIM, я знаю, что Amavis и OpenDKIM вообще не заботятся о том, является ли подписанный домен частью любого из адресов отправителя электронной почты, а GMail этого не делает. Домен для подписи должен непременно рассматриваться как «якорь доверия» ваших писем. Веб-интерфейс GMail покажет вам, какой домен был использован для подписи, но не предупредит, если он отличается от адреса отправителя. Но должно быть.
На мой взгляд, это большая слабость спецификации. Спамер может использовать любой домен, к которому у него есть доступ, для отправки должным образом подписанной нежелательной почты, которая, по всей видимости, исходит от надежного человека или организации. Я не знаю ни одного спама, использующего эту технику, но поверьте мне, он будет. DKIM - это метод проверки подлинности сообщения. Это не было изначально предназначено для борьбы со спамом, но чтобы дать искренним отправителям способ показать, что их почте можно доверять. Когда спамеры могут это подделать, DKIM бессмысленен. Конечно, настоящая сила заключается в сочетании SPF и DKIM (то есть DMARC), но это уже другая тема.
Пожалуйста, не используйте иностранные домены для подписи исходящих писем. Хотя это технически возможно, в этом нет смысла. Кроме того, используя конверт Mail From:/ сообщения Return Path: также является менее оптимальным вариантом: в случае использования SRS во время передачи (среди других методов) отправитель конверта будет просто перезаписан. Это находится вне вашего контроля и в конечном итоге нарушает прямую связь между доменом подписи и фактическим отправителем сообщения, которая должна оставаться неизменной.
Поэтому, на мой взгляд, предпочтительнее использовать From: домен отправителя при подписании исходящей почты по возможности. Кроме того, следует поощрять то, что при проверке подписанных писем интернет-провайдеры должны учитывать, является ли домен, используемый для подписи письма, частью адреса отправителя. Хотелось бы услышать другие мнения!
Я также нашел интересный пост с еще несколькими ссылками, если кто-то желает углубиться в эту тему.
Один из Сильные стороны DKIM он не охватывает конверт сообщения, который содержит обратный путь и получателей сообщения. Поэтому вы должны использовать example.com, который должен быть доменом подписи.