我们计划使用 DKIM 电子邮件对多个域名进行签名。
每个域名都会有一个指向公共域中 DNS 条目的 CNAME,密钥存储在该域中。如果每个域名都使用相同的密钥进行签名,但当然使用不同的域名和选择器,那么它们都会创建独立的声誉吗?
如果一个域被标记为垃圾邮件发送者,是否会影响其他域的传递能力?
它们完全不同,使用不同的选择器。只是共享了密钥。
答案1
您可以对多个域使用相同的密钥。对同一个密钥使用不同的选择器不会提高您的声誉。这也会使签名更加困难。您可以对不同的密钥使用相同的选择器,因为它们将在不同的域下发布。
您需要为每个发送域发布选择器 DNS 记录。使用匹配的私钥对发送的消息进行签名。
根据我的经验,很大一部分组织要么不发布 DKIM 记录,要么发布无效记录。这两种情况都不会增加可信度。
如果您从同一个 IP 地址发送邮件,所有域名都将被标记为垃圾邮件。大多数黑名单都是基于 IP 的,而不是基于域名的。只要您使用正确配置的服务器(包括 DNS 配置),除非您发送垃圾邮件,否则您的服务器不太可能被标记为垃圾邮件。双重选择应该可以防止这种情况发生。
确保您的服务器不是开放中继。开放中继确实会被标记,并且通常用于发送垃圾邮件。我会尽我所能确保垃圾邮件尽可能长时间地留在开放中继上。
答案2
这个解决方案不是很灵活和优雅(相同的选择器)但它有效。
在 opendkim.conf 中您可以指定多个域没有 KeyTable/SigningTable只是 :
Domain xxx.tld,yyy.tld,zzz.tld
Selector default
KeyFile /etc/opendkim/keys/default.private
在 xxx.tld 的 DNS 区域中:
默认._domainkey TXT“v=DKIM1;k=rsa;p=....”
在 yyy.tld 的 DNS 区域中:
默认._domainkey CNAME 默认._domainkey.xxx.tld。
在 zzz.tld 的 DNS 区域中:
默认._domainkey CNAME 默认._domainkey.xxx.tld。
ps:优点:如果必须生成密钥,则只需修改 xxx.tld 的 DNS 区域
(对不起我的英语不好)