域名密钥识别邮件 (DKIM) 实施问题

域名密钥识别邮件 (DKIM) 实施问题

我将使用 Exim 在我的服务器上设置 DKIM,并且有以下问题:

问题 1

我的服务器主机名是domain1.com,并且服务器正在发送电子邮件:

Return-Path: <[email protected]>
envelope-from <[email protected]>, etc

但是,所有电子邮件可能包含不同的“发件人”地址:

From: something2 <[email protected]>
From: something3 <[email protected]>

我是否应该创建一个 DKIM 密钥domain1.com并使用此密钥签署所有电子邮件,或者我是否应该为所有用作“发件人”地址的域创建 DKIM 密钥?

问题2

我从自己的服务器使用我的域名发送邮件,但同时我也将我的域名与 Gmail 一起使用。

如果我为我的域名创建 DKIM 密钥domain1.com并发布适当的 DNS 记录,会发生什么?从我的服务器发送的电子邮件将经过 DKIM 签名,但从 Gmail 系统通过我的域名发送的电子邮件将不经过签名。即使 DKIM 公钥已在 DNS 中发布,不签署电子邮件可以吗?

答案1

关于问题 1,这有点像是判断,但我可能会为发件人地址中使用的所有域创建密钥,并使用适当的 DKIM 密钥签署电子邮件。这种方法意味着发件人地址和 DKIM 身份验证将保持一致。这使得将来某个时候启用 DMARC 变得容易。

至于问题 2,您有几个选择:

  1. 只需对来自您服务器的电子邮件进行 DKIM 签名即可。来自 Google 的电子邮件不会被签名。它们不会获得任何好处,但除非您启用 DMARC,否则它们也不会受到惩罚

  2. 在 Google Apps 中启用 DKIM 签名,并在您的个人 DKIM 密钥旁边添加 DKIM 记录。DKIM 密钥通过选择器来区分,选择器是用于指定不同密钥的域前缀。因此,您可以让多个 DKIM 密钥(和多个签名发件人)在单个域上发送电子邮件。

相关内容