Рекомендации по ротации ключей DKIM
Считаете ли вы необходимым повторно создавать ключи DKIM каждые 1-6 месяцев, чтобы ваша почта не попала в папку нежелательной почты принимающих серверов?
Некоторые Гиды рекомендуют это, некоторые даже говорят, что это «Лучшая практика», но в большинстве других гидов это вообще не упоминается. Очевидно, это Лучшая практика, чтобы сделать это , но каков ваш реальный опыт ?
Только что модернизировал мой старый сервер Postfix Debian 7, включив в него DKIM + DMARC (+ SPF), и хочу знать, нужно ли мне проводить текущее обслуживание для восстановления ключей.
Что делает большинство людей? мировой опыт? Вы заметили, что старые ключи являются причиной того, что ваша почта отправляется в папку нежелательной почты?
Я отправляю мало сообщений, через мой сервер отправляется 5-10 писем в день.
Нужно ли менять ключи DKIM?
Только настолько, насколько необходимо регулярно обучать все остальные процедуры аварийного восстановления. Конечно, полезно делать это регулярно, но для большинства (небольших) операций ежемесячная ротация будет излишним и отнимет ресурсы у других, более важных регулярных проверок и тренировок.
Раньше был спор о том, что люди учитывают ключи (изучая ключи без риска для вашего сервера), но в любом случае не следует использовать старые алгоритмы с короткими ключами (в наши дни вы можете транспортировать > = 1024-битные ключи RSA через DNS, и совсем недавно ed25519 был предложен в качестве следующего алгоритма , поскольку RSA выглядит все более медленным и громоздким по сравнению с ним).
Но что, если получатели интерпретируют мою редкую ротацию ключей как сигнал спама?
Если бы я использовал возраст ключа DKIM в качестве параметра в своей фильтрации спама, я бы назначил отрицательный оценивайте недавно впервые увиденные ключи, потому что это более сильно коррелирует со спамом.
Но даже если это не относится к другим получателям, это, вероятно, не один из сигналов, который больше всего будет волновать с точки зрения размера эффекта. Существуют почти бесконечно более сильные индикаторы сомнительных или плохо поддерживаемых операций, редко нужно даже смотреть на возраст используемого ключа DKIM, когда вы можете смотреть на гораздо более простые и гораздо более сильные индикаторы.
Подробное обсуждение того, что является более сильными индикаторами, см. в каноническом вопросе о борьбе со спамом
Каков ваш реальный опыт?
Некоторые получатели ведут список индикаторов. (IP-адреса, сети, имена, шаблоны именования (!), ключи dkim) и получать данные о репутации путем их сопоставления.Эти получатели могут с меньшей вероятностью вызвать у вас проблемы, если вы избегаете одновременного изменения ключей DKIM и IP-адресов — пока есть совпадение, они могут автоматически считать, что оба принадлежат одной и той же стороне. Если они не поймут, что новый ключ принадлежит той же стороне, вы будете считаться неизвестным, а с точки зрения фильтрации спама неизвестный означает более строгие фильтры.
Вы заметили, что старые ключи являются причиной того, что ваша почта отправляется в папку нежелательной почты?
Только в контексте старых ключей, которые больше не соответствуют минимальным требованиям (ключи RSA короче 1024 бит больше не считаются полезными для все). Это, однако, не связано с фактическим возрастом ключа, просто более вероятно для ключей, сгенерированных до того, как такие большие ключи можно было надежно транспортировать в DNS.