web-dev-qa-db-fra.com

Comment DKIM fonctionne-t-il lors de l'envoi d'e-mails de plusieurs sources / serveurs?

Donc, si je comprends bien DKIM correctement, il s'agit essentiellement d'un type de service public public/privé. Cependant, comment cela fonctionne-t-il si vous envoyez des courriels à partir de plusieurs serveurs/sources? Par exemple, j'ai un domaine divisé où j'envoie des courriels (sous le même domaine) à partir d'un serveur Exchange hébergé et d'un compte d'hébergement partagé CPanel. Et en plus de cela, j'ai autorisé certains courriels à envoyer par 3e Parties (service de facturation, service de marketing ewails, etc.) afin qu'ils puissent envoyer à l'aide de mon domaine. Pire encore, certains de ces services ne fournissent même pas de soutien DKIM. Mes enregistrements SPF sont corrects, mais je souhaite que DKIM fonctionne également également (car Google en ce moment marquait beaucoup de mes courriels comme spam et que vous devez permettre à DKIM d'obtenir des choses pour commencer à couler en douceur). Toute aide est grandement appréciée. Merci!

P.s. Si je suis capable d'activer DKIM sur certains serveurs que j'utilise, cela entraînera des courriers électroniques sans signatures DKIM à se faire pavillon? Par exemple, les serveurs de messagerie entrante vont-ils toujours interroger mon domaine pour la clé publique DKIM, puis si elles ne trouvent pas une signature DKIM dans l'en-tête, l'email sera potentiellement signalé ou jeté?

emailauthenticationspamspfdkim
2
Marc NJ

Explication

Le but de DKIM est de signer des en-têtes et un corps de message, permettant la validation de l'origine du message et qu'elle n'a pas été modifiée. Une meilleure réputation sur certains filtres de spam n'est qu'un sous-produit, et non la raison principale de la mise en œuvre de DKIM.

Pour permettre la signature de DKIM pour le même domaine à partir de plusieurs systèmes sans partager des touches privées DKIM a SÉLECTEURS ( RFC 5376, 3.1 ): le en-tête de signature a un s=someselector étiquette utilisée dans la requête DNS pour la clé publique, someselector._domainkey.example.com. TXT.

  • Lorsque le sélecteur pourrait être quelque chose, cela vous permet d'ajouter les signatures sur plusieurs services tant qu'ils n'utilisent pas de noms de sélection de chevauchement. Certains services ont de mauvaises implémentations d'utilisation du nom de sélecteur fixe: E.G. Microsoft 365 Toujours les utilisateurs selector1 et selector2, _, alors que g Suite vous permet de modifier le sélecteur et la valeur par défaut à google.

  • L'utilisation des sélecteurs a un désavantage: une faiblesse de DKIM est qu'elle ne peut être utilisée que pour la validation des messages signés, mais elle ne dispose pas de méthode de savoir si les messages doivent être signés ou non: Si un serveur de messagerie reçoit une Mail sans signature, il ne peut pas vérifier si le DNS a des touches DKIM ou non, car elle ne connaît pas les adresses. Dans cette perspective, il convient également parfaitement à signer des messages de certaines sources, mais laissez des messages non signés, ce que vous demandiez.

    Le DMARC est une technologie que vous pourriez utiliser pour dire que les messages doivent être signés avec un alignement DKIM HEADER ou Pass SPF avec un enveloppe d'enveloppe d'alignement . Il peut également être utilisé pour collecter des informations sur la question de savoir si les messages envoient de votre domaine à mesure que l'adresse From _ transmettrait DMARC ou non, et s'ils alignent à l'aide de SPF, DKIM ou les deux.

Alors que la réponse de Yagmoth555 pourrait être une solution pour votre problème et une alternative très appropriée, ce n'est pas une solution typique. Plus important encore, pour les raisons que j'ai décrites ci-dessus, il n'est pas nécessaire de prendre ce chemin afin de commencer à mettre en œuvre DKIM.

Suggestions

  • Activez la signature DKIM pour les services que vous pouvez et n'oubliez pas d'ajouter les enregistrements DNS.
  • Ne vous inquiétez pas des services qui manquent de capacité pour la signature DKIM à ce stade. Vous pouvez commencer à suggérer ou à exiger qu'ils devraient bientôt ajouter cette fonctionnalité. S'ils obtiennent ce type de commentaires des clients, ils pourraient se rendre compte que leurs concurrents pourraient être en avance sur eux.
  • Ajouter une politique DMARC avec p=none et rua=mailto:[email protected] Pour obtenir des rapports sur la façon dont les choses vont. Cela vous permet d'ajuster les systèmes tranquillement: vous pouvez continuer les implémentations DKIM, passer à des systèmes prenant en charge DKIM ou commencer à envoyer des messages incompatibles avec un autre domaine From. Une fois que tout votre courrier légitime commence à passer des tests DMARC, vous pouvez passer à une politique DMARC plus stricte.
1
Esa Jokinen

Vous pouvez utiliser un service Cloud qui vous permet de l'utiliser pour envoyer un courrier électronique à tout votre service (un Smartthost).

Vous activez le DKIM au point de ce centre.

A fait cette configuration pour un client? Vous autorisez ensuite tout votre autre fournisseur à envoyer via là-bas. Dans mon cas, j'ai utilisé Trendmicro Security Security, qui permet de numériser entrant, mais d'une scanie sortante et de la signature DKIM.

0
yagmoth555