Недавно мы внедрили DKIM для автоматических писем, отправляемых с нашего веб-сайта (SMTP на статическом IP-адресе). Однако мы не можем реализовать DKIM для наших учетных записей электронной почты размещенного обмена (управляемый хостинг отправляет с ряда IP-адресов).
Таким образом, в отчетах DMARC я получаю пропуски для писем, отправленных с нашего веб-сайта через SMTP, но не для писем, отправленных через индивидуальные учетные записи пользователей Exchange. SPF также реализован, и это подходит для обоих.
Насколько мне удалось найти в Интернете, это не должно повредить нашей репутации, но я очень хочу дважды проверить это, поскольку я не уверен на 100%, что наша настройка DMARC в порядке:
v = DMARC1; p = нет; rua = mailto: webmaster@mydomain.co.uk; pct = 100
Пример результата DMARC:
<record>
<row>
<source_ip>IPADDRESS OMMITTED</source_ip>
<count>1</count>
<policy_evaluated>
<disposition>none</disposition>
<dkim>fail</dkim>
<spf>pass</spf>
</policy_evaluated>
</row>
<identifiers>
<header_from>mydomain.com</header_from>
</identifiers>
<auth_results>
<spf>
<domain>mydomain.com</domain>
<result>pass</result>
</spf>
</auth_results>
</record>
Любой вклад очень ценится, спасибо
Однако мы не можем реализовать DKIM для наших учетных записей электронной почты размещенного обмена (управляемый хостинг отправляет с разных IP-адресов).
Ваша запись DMARC в порядке.
Для DKIM не имеет значения, с какого IP-адреса отправляется сервер. Определение того, какие IP-адреса имеют разрешение на отправку из вашего домена - это сфера SPF. DKIM был разработан специально для решения проблемы, заключающейся в том, что SPF не может адекватно описать все почтовые потоки. Примеры мест, где SPF недостаточен:
Таким образом, DKIM добавляет криптографический заголовок, подписывающий каждое сообщение. Оттуда не имеет значения, с какого IP-адреса пришло сообщение (а). Валидатор DKIM, используемый получателем, будет искать ваш открытый ключ DKIM в DNS и использовать его для проверки того, что подписанное сообщение, которое он оценивает, действительно подписано вами (или вашим агентом с вашим ключом DKIM).
Exchange не имеет встроенной поддержки DKIM, но есть Плагин DKIM доступный. Вы можете спросить своего поставщика, поддерживает ли он это. Если они это сделают, вам нужно будет сгенерировать ключ DKIM, поделиться закрытым ключом DKIM с вашим провайдером и опубликовать открытый ключ в вашем DNS. Я написал сценарий оболочки, который автоматизирует генерацию ключей.
Если ваш провайдер не поддерживает / не может / не поддерживает DKIM, он может позволить вам ретранслировать исходящие сообщения через другой контролируемый вами сервер. Этот сервер будет принимать сообщения от вашего размещенного Exchange, а затем подписывать их DKIM при выходе в Интернет.