您是否认为有必要每 1-6 个月重新生成一次 DKIM 密钥以避免您的邮件进入接收服务器的垃圾邮件文件夹?
有些指南推荐这样做,有些甚至说这是“最佳实践”,但大多数其他指南根本没有提到这一点。显然最佳实践,但您的现实世界经历是什么?
刚刚对我的旧 Debian 7 Postfix 服务器进行了现代化改造,使其包含 DKIM + DMARC (+ SPF),想知道是否应该进行持续维护来重新生成密钥。
大多数人都在做什么?您的真实经历是什么?您是否注意到旧密钥是导致您的邮件被发送到垃圾邮件文件夹的原因?
我的发件量很少,每天大概只有 5-10 封电子邮件通过我的服务器发送。
答案1
是否有必要轮换 DKIM 密钥?
只要有必要定期训练所有其他灾难恢复程序。 这当然是有帮助的做但对于大多数(较小)的运营来说,每月轮换会显得太过分,并且会抢走其他更重要的定期检查和演习的资源。
曾经有人争论过如何分解密钥(在不危及服务器的情况下学习密钥),但是无论如何你都不应该使用带有短密钥的旧算法(现在,你可以通过 DNS 传输>=1024 位 RSA 密钥,最近ed25519已被提议作为下一个算法因为相比之下,RSA 看起来越来越慢且笨重)。
但是,如果收件人将我罕见的密钥轮换解读为垃圾邮件信号怎么办?
如果我将 DKIM 密钥年龄用作垃圾邮件过滤中的参数,我会分配A消极的最近第一次看到的钥匙的分数,因为这恰好与垃圾内容更密切相关。
但即使其他收件人的情况并非如此,从影响大小来看,这也可能不是大多数人会关心的信号之一。对于可疑或维护不善的操作,几乎有无限强大的指标,当你可以查看更简单、更强大的指标时,很少有必要查看所用 DKIM 密钥的年龄。
详细讨论是更有力的指标查看关于打击垃圾邮件的典型问题
您在现实世界中的经历是什么?
有些收件人会保留指标列表(IP、网络、名称、命名模式(!)、dkim 密钥),并通过关联它们来获取信誉数据。如果您避免同时更改 DKIM 密钥和 IP 地址- 只要有重叠,他们就可以自动假设两者都属于同一方。如果他们没有意识到新密钥属于同一方,您将被视为未知,而就垃圾邮件过滤而言,未知意味着更严格的过滤。
您是否注意到旧密钥是导致您的邮件被发送到垃圾邮件文件夹的原因?
仅在旧密钥不再满足最低要求的情况下(短于 1024 位的 RSA 密钥不再被认为对每个人都有用)。然而,这与实际密钥年龄无关,只是在如此大的密钥能够在 DNS 中可靠传输之前生成的密钥更有可能出现这种情况。