На сайте, которым я управляю, мы рассылаем электронные письма для многих доменов клиентов.
У некоторых из них есть наш DKIM-ключ в DNS, у некоторых нет.
Ошибка проверки подписи не приводит к принудительному отклонению сообщения.
Но так ли это на самом деле? В реальном мире я могу просто подписать ВСЕ нашим ключом (не делая SRS) и будь счастлив?
Но так ли это на самом деле?
Да.
В реальном мире я могу просто подписать ВСЕ нашим ключом (не делая SRS) и быть счастливым?
Да. Часто это делается без вреда для здоровья. Некоторые MTA недостаточно умны, чтобы подписывать сообщения с помощью ключей DKIM для каждого домена, и могут работать только так, как вы описали, подписывая все одним ключом. Я лично модифицировал два MTA, чтобы добавить поддержку подписи DKIM для каждого домена.
Сообщения электронной почты часто содержат несколько заголовков DKIM-Signature при передаче через Интернет. MTA организации нередко подписывает сообщения DKIM, а затем передает их на умный хост своего провайдера, который также подписывает сообщение DKIM. Таким образом, получатель этого сообщения увидит обе подписи DKIM.
TL; DR;
DKIM = Почта с идентификационными ключами домена. Когда получатель проверяет подпись DKIM, он просто проверяет подлинность идентичность отправителя сообщения. Например, если пришло электронное письмо с заголовком DKIM-Signature и d =example.com и эта подпись DKIM прошла проверку, то получатель может доверять тому, что сообщение было отправлено организацией, которая:
Это справедливо для такого количества заголовков DKIM-Signature, сколько содержит сообщение.
Практически никто не отклоняет электронные письма, основанные на неудачных подписях DKIM. Невозможность получить открытый ключ DKIM доменов считается ошибкой. Значительный процент действительных потоков электронной почты имеет нарушенные подписи DKIM, особенно в сообщениях, прошедших через список рассылки.
DMARC не меняет DKIM. Вообще. DMARC = Аутентификация сообщений на основе домена, отчетность и соответствие. DMARC - это механизм аутентификации домена отправителя сообщения электронной почты, как показано в заголовке From сообщения. DMARC наиболее эффективен в борьбе с фишингом, так как предоставляет отправителям электронной почты надежный способ сказать, «если отправитель конверта сообщения не соответствует нашему домену (SPF) или заголовок сообщения From не соответствует DKIM, согласованному с нашим доменом, значит, сообщение не было отправлено нами, и вы должны (отклонить | карантин | передать) его. "DMARC также предоставляет несколько отличных функций отчетности для владельцев доменов. DMARC обычно используется организациями (банки, крупные поставщики электронной почты и т. д.), у злоумышленников есть стимулы выдавать себя за другое лицо.
Таким образом, DMARC является уровнем политики поверх DKIM и SPF. Когда DMARC используется, он предъявляет дополнительные требования к согласованию DKIM и SPF, чтобы пройти проверку DMARC. Только подписи DKIM, которые проходят и иметь свойство d =, которое соответствует заголовку сообщения From, может дать результат передачи DMARC. Каждый ключ DKIM может пройти или не пройти проверку DKIM, и последствия не отличаются для DKIM до или после DMARC.
Политика DMARC может изменить этот результат. DMARC - это комбинация SPF и DKIM, изменяющая расположение.
1) чтобы стать разрешенным отправителем + передавать DKIM, вам потребуются записи TXT
2) и TXT / spf с вашим ip / доменом [as spf].
Электронные письма, которые вы подписываете, не имея фактического домена с ключами в txt-записи, в конечном итоге станут нежелательными. (ПРИМЕЧАНИЕ: это не обязательно отказ, а репутация).