答案1
但事实真是如此吗?
是的。
在现实世界中,我可以用我们的密钥签署所有内容(而不执行 SRS)并感到高兴吗?
是的。通常这样做不会产生任何不良影响。一些 MTA 不够聪明,无法使用每个域的 DKIM 密钥对邮件进行签名,只能按照您描述的方式操作,使用单个密钥对所有内容进行签名。我亲自修改了两个 MTA,以添加每个域的 DKIM 签名支持。
电子邮件在互联网上传输时通常会携带多个 DKIM 签名标头。组织 MTA 对邮件进行 DKIM 签名,然后将其转发到其 ISP 的智能主机(该主机也会对邮件进行 DKIM 签名)的情况并不少见。因此,该邮件的收件人将看到两个 DKIM 签名。
TLDR;
DKIM = 域名密钥识别邮件。当接收方验证 DKIM 签名时,他们只是在验证身份邮件发件人的。例如,如果一封电子邮件带有 DKIM-Signature 标头和 ad=示例.com属性,并且 DKIM 签名通过验证,则收件人可以相信该邮件是由以下组织发送的:
- 控制 DNS示例.com
- 拥有示例.com
- 邮件在传输过程中未被篡改
这对于邮件所承载的 DKIM 签名标头数量都适用。
几乎没有人会因为 DKIM 签名失败而拒绝电子邮件。无法获取域 DKIM 公钥被视为失败。相当一部分有效电子邮件流的 DKIM 签名已损坏,尤其是在经过邮件列表传输的邮件中。
DMARC 不会改变 DKIM。一点也不会。DMARC =基于域的消息认证、报告和一致性。DMARC 是一种验证电子邮件发送域的机制,如邮件的发件人标题中所示。DMARC 在打击网络钓鱼方面最有效,因为它为电子邮件发件人提供了一种可靠的方式,可以表示“如果邮件的信封发件人与我们的域 (SPF) 不一致或者如果发件人邮件标头的 DKIM 与我们的域不一致,则该邮件不是我们发送的,您应该 (拒绝|隔离|传递) 它。" DMARC 还为域名所有者提供了一些很好的报告功能。DMARC 通常被不法分子有动机冒充的组织 (银行、大型电子邮件提供商等) 使用。
因此,DMARC 是 DKIM 和 SPF 之上的策略层。使用 DMARC 时,它会对 DKIM 和 SPF 施加额外的对齐要求,以便通过 DMARC 验证。只有通过的 DKIM 签名和具有与邮件发件人标头对齐的 ad= 属性可以产生 DMARC 通过结果。每个 DKIM 密钥仍然可以通过或未通过 DKIM 验证,并且对于 DMARC 之前或之后的 DKIM,后果没有区别。
答案2
DMARC 政策可以改变这一结果。DMARC 是 SPF 和 DKIM 的组合,可以改变处置方式。
答案3
1)要成为允许的发件人并通过 DKIM,您将需要 TXT 记录
2)并将 TXT/spf 与你的 IP/域名 [作为 spf] 一起使用。
如果您所签名的电子邮件没有实际的域名和 txt 记录中的密钥,那么它最终将被归为垃圾邮件。(注意:这不一定是拒绝,而是声誉问题)。