迁移电子邮件提供商;过渡期间多个 DKIM 记录是否可行?

迁移电子邮件提供商;过渡期间多个 DKIM 记录是否可行?

我目前正在收集一个小型项目(希望如此)的需求,该项目将从 SendGrid 迁移到 Mandrill,作为交易电子邮件服务提供商。我们使用 SendGrid 已有近 3-4 年的时间,平均每天发送约 5k-10k 封电子邮件。我们已正确配置了 SPF 和 DKIM 记录,因此,我们的退回/垃圾邮件率非常低,并且作为发件人的声誉相当好。

已经决定迁移到 Mandrill,现在我必须确保迁移顺利进行,并尽可能减少服务中断,从而重新开始批准/声誉流程。

我知道对于 SPF 条目,可以添加多个项目,因此,暂时我会为 SendGrid 和 Mandrill 保留这两个条目。但是,我对 DKIM 条目不是 100% 确定。有些服务建议使用 CNAME 条目,而其他服务则建议使用 TXT 条目。

这让我想知道是否有可能为一个服务设置一个 CNAME DKIM 条目,为另一个服务设置一个 TXT DKIM 条目。我很好奇这种变化的影响。这个条目的审查/验证是否完全取决于中介/接收者?或者,他们通常会同时看到两者并只选择第一个?

本质上,我想做的是找到一种方法,以尽可能少的中断慢慢地从一项服务过渡到下一项服务。我们之前遇到过 ISP 黑名单问题,我非常想避免这种情况。

非常感谢您的参与!

答案1

多个 DKIM 记录是一个可行的选择。

DKIM 密钥和记录应定期更换。在更新过程中,旧记录会保留一段时间,以便验证传输中的消息。这也可以允许重新验证收到的消息。

我认为使用 CNAME 进行 DKIM 记录没有任何价值。它只会在读取所需的 TXT 记录之前添加额外的 DNS 查找。每次密钥更改时都应添加 DKIM 记录。这需要新的 TXT 记录,也可能需要新的 CNAME 记录。

答案2

回答你的问题。

别名记录DKIM 记录只是一种方法ESP 处理密钥轮换无需访问您的 DNS 或在每次轮换密钥时要求您更改 DNS TXT 记录。

sector._domainkey.example.com. IN TXT "DKIM KEY"

sector._domainkey.example.org. IN CNAME sector._domainkey.example.com.

如果您添加 TXT 记录,则提供商不会为您轮换密钥,或者您就是轮换密钥的人。

您还可以为每个服务设置多个密​​钥选择器,并并行运行 sendgrid 和 mandrill,这也允许您在切换到它们之前测试 mandrill。注意:DKIM 扇区的数量没有限制,SPF 的 DNS 查找次数有限制(10)。

答案3

这是选择器字段的主要用途之一。ISP 拥有以下域名密钥记录的情况很常见 -

201604._domainkey.mydomain.com

201604指的是此示例中创建密钥的年份和月份(但实际上可以是任何数字),并且在签署外发电子邮件时将被设置为选择器。

当更换密钥或迁移到其他地方时,您只需创建一个新的 DKIM 记录(例如201705._domainkey.mydomain.com)。通过旧系统发送的任何电子邮件仍将引用 201604 选择器,而来自新系统的电子邮件将引用新选择器。这两个 DKIM 记录显然可以存在于 DNS 中而不会出现任何问题,收件人服务器将查询电子邮件标头中指定的记录。

这就是大多数提供商定期更改其 dkim 密钥的方式,而不会在 dns/服务器更新期间错误地签名或验证任何电子邮件。

相关内容