Назад | Перейти на главную страницу

Как работает DKIM при отправке писем из нескольких источников / серверов?

Итак, если я правильно понимаю DKIM, в основном это служба с открытым / закрытым ключом. Однако как это работает, если вы отправляете электронные письма с нескольких серверов / источников? Например, у меня есть разделенный домен, куда я отправляю некоторые электронные письма (в том же домене) с размещенного сервера Exchange, а некоторые - из учетной записи общего хостинга cPanel. И вдобавок ко всему, я разрешил отправлять некоторые электронные письма третьим лицам (служба выставления счетов, служба маркетинговых сообщений и т. Д.), Чтобы они могли отправлять их с использованием моего домена. Хуже того, некоторые из этих сервисов даже не поддерживают DKIM. Мои записи SPF верны, но я также хочу, чтобы DKIM работал (поскольку Google прямо сейчас отмечает много моих писем как спам, и, по-видимому, вам нужно включить DKIM, чтобы все начало плавно работать в их конце). Любая помощь приветствуется. Спасибо!

P.S. Если я смогу включить DKIM на некоторых серверах, которые я использую, будут ли при этом отмечены сообщения, отправленные без подписей DKIM? Например, будут ли серверы входящей электронной почты ВСЕГДА запрашивать у моего домена открытый ключ DKIM, а затем, если они не найдут подпись DKIM в заголовке, электронное письмо будет потенциально помечено или отклонено?

Объяснение

Цель DKIM - подписать заголовки и тело сообщения, что позволяет проверить происхождение сообщения и то, что оно не было изменено. Лучшая репутация некоторых спам-фильтров - это всего лишь побочный продукт, а не основная причина внедрения DKIM.

Для обеспечения возможности подписи DKIM для одного и того же домена из нескольких систем без совместного использования закрытых ключей DKIM имеет селекторы (RFC 5376, 3.1): заголовок подписи имеет s=someselector тег, который используется в DNS-запросе для открытого ключа, someselector._domainkey.example.com. TXT.

  • Поскольку селектором может быть что угодно, он позволяет вам добавлять подписи для нескольких служб, если они не используют перекрывающиеся имена селекторов. Некоторые службы плохо реализуют использование фиксированного имени селектора: например, Microsoft 365 всегда пользователи selector1 и selector2, в то время как G Suite позволяет вам изменить селектор и по умолчанию google.

  • Использование селекторов имеет недостаток: слабость DKIM заключается в том, что его можно использовать только для проверки подписанных сообщений, но только он не имеет метода, чтобы определить, должны ли сообщения быть подписаны или нет: если почтовый сервер получает сообщение почты без подписи, он не может проверить, есть ли у DNS ключи DKIM, потому что он не знает адресов. С этой точки зрения также вполне нормально подписывать сообщения из некоторых источников, но оставлять некоторые сообщения без подписи, о чем вы и просили.

    В DMARC это технология, которую вы можете использовать, чтобы сказать, что сообщения должны быть подписаны выравнивание Заголовок DKIM или передать SPF с выравниванием отправитель конверта. Его также можно использовать для сбора информации о том, отправляются ли сообщения из вашего домена в качестве From адрес будет передавать DMARC или нет, и будут ли они выровнены с использованием SPF, DKIM или обоих.

Хотя ответ yagmoth555 может быть одним из решений вашей проблемы и очень подходящей альтернативой, это не типичное решение. Что еще более важно, по причинам, которые я описал выше, нет необходимости идти по этому пути, чтобы начать внедрение DKIM.

Предложения

  • Включите подписывание DKIM для доступных сервисов и не забудьте добавить записи DNS.
  • Не беспокойтесь о службах, в которых отсутствует возможность подписи DKIM. Вы можете начать предлагать или требовать, чтобы они вскоре добавили эту функцию. Если они получат такую ​​обратную связь от клиентов, они смогут понять, что их конкуренты могут опередить их.
  • Добавьте политику DMARC с p=none и rua=mailto:aggrep@example.com получать отчеты о том, как идут дела. Это позволяет вам неспешно настраивать системы: вы можете продолжить реализацию DKIM, переключиться на системы, поддерживающие DKIM, или начать отправлять несовместимые сообщения с другим From домен. Как только вся ваша легальная почта начнет проходить тесты DMARC, вы можете перейти к более строгой политике DMARC.

Вы можете использовать облачный сервис, который позволяет вам использовать его для отправки электронной почты для всех ваших сервисов (смарт-хост).

Вы включаете DKIM в этой центральной точке.

Сделал эту настройку для клиента. Затем вы разрешаете всем другим вашим провайдерам отправлять через них. В моем случае я использовал систему безопасности электронной почты trendmicro, которая позволяет сканировать входящие сообщения, но также позволяет сканирование исходящих сообщений и подписание DKIM.