Как работает DKIM при отправке писем из нескольких источников / серверов?
Так что, если я правильно понимаю DKIM, в основном это служба с открытым / закрытым ключом. Однако как это работает, если вы отправляете электронные письма с нескольких серверов / источников? Например, у меня есть разделенный домен, куда я отправляю некоторые электронные письма (в том же домене) с размещенного сервера Exchange, а некоторые - из учетной записи общего хостинга cPanel. И вдобавок ко всему,Я разрешил отправку некоторых электронных писем третьим лицам (биллинговая служба, маркетинговая электронная почта и т. Д.), Чтобы они могли отправлять их с использованием моего домена. Хуже того, некоторые из этих сервисов даже не поддерживают DKIM. Мои записи SPF верны, но я также хочу, чтобы DKIM работал (поскольку Google прямо сейчас отмечает много моих писем как спам, и, по-видимому, вам нужно включить DKIM, чтобы все начало плавно работать в их конце). Любая помощь приветствуется. Спасибо!
P.S. Если я смогу включить DKIM на некоторых серверах, которые я использую, будут ли при этом помечены сообщения, отправленные без подписей DKIM? Например, серверы входящей электронной почты ВСЕГДА будут запрашивать у моего домена открытый ключ DKIM, а затем, если они не найдут подпись DKIM в заголовке, электронное письмо будет потенциально помечено или отклонено?
Вы можете использовать облачный сервис, который позволит вам использовать его для отправки электронной почты для всех ваших сервисов (смарт-хоста).
Вы включаете DKIM в этой центральной точке.
Настроил для клиента. Затем вы разрешаете всем другим вашим провайдерам отправлять через них. В моем случае я использовал систему безопасности электронной почты trendmicro, которая разрешает сканирование входящей почты, но также сканирование исходящей почты и подпись DKIM.
Объяснение
Целью DKIM является подписание заголовков и тела сообщения, что позволяет проверить источник сообщения и убедиться, что оно не было изменено. Лучшая репутация некоторых спам-фильтров - это всего лишь побочный продукт, а не основная причина внедрения DKIM.
Для разрешения подписи DKIM для одного и того же домена из нескольких систем без совместного использования закрытых ключей DKIM имеет селекторов ( RFC 5376, 3.1 ): заголовок подписи имеет тег s = someselector , который используется в запросе DNS для открытого ключа, someselector ._domainkey.example.com. TXT .
Поскольку селектором может быть что угодно, он позволяет добавлять подписи для нескольких служб, если они не используют перекрывающиеся имена селекторов. Некоторые службы плохо реализуют использование фиксированного имени селектора: например, Microsoft 365 всегда использует
selector1иselector2,тогда как G Suite позволяет вам изменить селектор и по умолчанию использоватьgoogle.Использование селекторов имеет недостаток: слабость DKIM заключается в том, что его можно использовать только для проверки сообщений, которые были подписаны, но только он не имеет метода, чтобы определить, должны ли сообщения быть подписаны или нет: если почтовый сервер получает письмо без подписи, он не может проверить, есть ли у DNS ключи DKIM или нет, потому что он не знает адресов. С этой точки зрения также вполне нормально подписывать сообщения из некоторых источников, но оставлять некоторые сообщения без подписи, о чем вы и просили.
DMARC - это технология, которую вы можете использовать, чтобы сказать, что сообщения должны быть подписанным с помощью выравнивающего заголовка DKIM, либо передать SPF с выравнивающим отправителем конверта . Его также можно использовать для сбора информации о том, будут ли сообщения, отправленные из вашего домена с адресом
From, проходить DMARC или нет, и будут ли они согласовываться с использованием SPF, DKIM или обоих.
Хотя ответ yagmoth555 может быть одним из решений вашей проблемы и очень подходящей альтернативой, это не типичное решение. Что еще более важно, по причинам, которые я описал выше, нет необходимости идти по этому пути, чтобы начать реализацию DKIM.
Предложения
- Включите подписывание DKIM для сервисов, которые вы можете, и не забудьте добавить записи DNS.
- Не беспокойтесь о сервисах, которые не могут подписывать DKIM на этом этапе. Вы можете начать предлагать или требовать, чтобы они вскоре добавили эту функцию. Если они получат такую обратную связь от клиентов, они смогут понять, что их конкуренты могут опередить их.
- Добавьте политику DMARC с
p = noneи (скрыто), чтобы получать отчеты о том, как обстоят дела собирается. Это позволяет вам неспешно настраивать системы: вы можете продолжить реализацию DKIM, переключиться на системы, поддерживающие DKIM, или начать отправку несовместимых сообщений с другимиздомена. Как только вся ваша законная почта начнет проходить тесты DMARC, вы можете перейти к более строгой политике DMARC.