SPF, DomainKeys и DKIM для аутентификации альтернативного домена
Допустим, мой домен - example.com, и у нас есть записи SPF для серверов SMTP на example.com . Теперь предположим, что я решил разрешить example.org отправлять почту как example.com . Я знаю, как добавить example.org в SPF но если бы я хотел также использовать DomainKeys или DKIM для аутентификации примера. org, должны ли ключи находиться на example.com или example.org ? Например,
Могу ли я использовать:
_domainkey.example.com. IN TXT "t=y\; o=~\;"
xxxxxxx._domainkey.example.com. IN TXT "k=rsa\;
p=xxxxxxxxxxx
или
_domainkey.example.org. IN TXT "t=y\; o=~\;"
xxxxxxx._domainkey.example.org. IN TXT "k=rsa\;
p=xxxxxxxxxxx
Также,
1) Кто генерирует ключи? example.com или example.org ? (Я почти уверен, что example.org сделает ключи, а затем отправит нам общедоступные данные для DNS, но не уверен)
2) Нужны ли мне SPF и ключи, или одних ключей будет достаточно для аутентификации другого домена и разрешить ему пройти аутентификацию? (Я нахожусь в положении, когда я хотел бы использовать только ключи)
3) Какой из них лучше использовать с точки зрения проверки провайдера? Например, проверяют ли провайдеры ключи столько же, сколько они SPF?
Правильная настройка вашего сервера для отправителя электронной почты имеет большое значение для установления доверия. Сейчас почти вся оценка автоматизирована, и многие организации выбирают то, что публикуют. Большинство подключений к моему серверу явно являются спамом.
1) Кто генерирует ключи? example.com или example.org? (Я красивая убедитесь, что example.org сделает ключи, а затем отправьте нам публикацию для DNS, но не уверен)
Вы можете использовать существующий ключ для подписи для обоих доменов. Хитрость заключается в том, чтобы подписать электронное письмо, используя правильного подписавшего. Я извлекаю домен из адреса отправителя и подписываюсь под этим доменом.
Вполне допустимо иметь несколько активных открытых ключей с разными селекторами. Во время замены ключа вы захотите, чтобы старый и новый ключи были активными. Ключи необходимо периодически менять.
Если вы действуете в качестве сервера ретрансляции, а example.org подписываетесь, им необходимо сгенерировать ключ, который они используют. Тот, кто поддерживает DNS для подписывающего домена, должен будет добавить открытый ключ для селектора, используемого для подписи сообщений.
Безопаснее всего сгенерировать ключ на подписывающем сервере. Это избавит от необходимости иметь закрытый ключ где-либо еще. Открытый ключ является открытым и будет опубликован, поэтому нет необходимости защищать его.
Многие крупные организации не публикуют свои открытые ключи. Я благодарю вас за ваши усилия, чтобы сделать это правильно.
2) Нужны ли мне SPF и ключи, или одних ключей будет достаточно, чтобы аутентифицировать другой домен и разрешить ему пройти аутентификацию? (Я нахожусь в положении, когда я хотел бы использовать только ключи)
И SPF, и DKIM не являются обязательными, но они помогают отличить ваш сервер от спам-бота. Я рекомендую использовать SPF для всех доменов. Это может быть так просто, как v = spf1 a mx -all для доменов, отправляющих электронную почту, v = spf1 a -all для почтовых серверов и v = spf1 -all для всех остальных доменов.
3) Какой из них лучше использовать с точки зрения проверки провайдера? За Например, проверяют ли провайдеры ключи столько же, сколько они SPF?
SPF более надежен, но я считаю, что большинство крупных сайтов проверяют и DKIM, и SPF. Пропуск со строгой политикой SPF - хороший показатель того, что электронное письмо действительное. По моему опыту, SPF используется многими организациями для оценки сообщений.
Для почтовых серверов я откладываю прием сообщений, если: нет политики SPF ни для домена почтового сервера, ни для его родительского домена; или SPF проходит проверку SPF для своего домена или его родительского домена. Мягкие проходы считаются ошибками.
Как я уже отмечал, многие крупные организации не смогли опубликовать свой открытый ключ DKIM. В результате я сомневаюсь, что отказ от DKIM сам по себе вызовет серьезные проблемы. Действительная подпись DKIM действительно помогает завоевать доверие. Однако, если вы опубликовали запись DMARC, может применяться ее политика.
Публикация записи DMARC для домена позволяет сделать политики подписи SPF и DKIM доступными для автоматической проверки. DMARC позволяет принимающему серверу отправлять вам подробную информацию о том, откуда приходит электронная почта для ваших доменов и как они обрабатывались. И Gmail, и Yahoo присылают мне отчеты. Начните с политики «только уведомления», пока не убедитесь, что ваша почта правильно подписана и SPF работает.