如果已在域上配置了 DKIM(DNS 具有包含 DomainKey 的 TXT 记录),是否有必要对所有发出的邮件进行签名,还是可选的?
我有一个带有公司邮件服务器的域名,它不签署出站邮件(我无法控制该服务器)。
我正在添加一个将发送出站消息的 Web 应用程序服务器,并且我希望对这些消息进行签名。
我想知道将 DomainKey 添加到 DNS 是否会对来自公司邮件服务器的未签名邮件的传递产生负面影响。
接收邮件服务器上的 DKIM 验证过程是否仅由 DNS 中的 DomainKey 存在而触发,还是仅在使用 DKIM 签名传入消息时才激活?
答案1
仅 DKIM 不行,这取决于您域的 DMARC 策略。
DKIM 是一种签名机制,但它本身并不能防止欺骗。DMARC 会告诉域如何处理来自您的消息。在实施 DKIM/DMARC 时,最好先从审核 (p=none) 模式开始,然后查看在转到强制执行 (p=quarantine 或 p=reject) 模式之一之前会发生什么。
有关更多信息DMARC 德马西安的帮助页面是我发现最有用的页面。
答案2
没有 DKIM 是一种不好的做法,因为 DKIM 将域链接到邮件并使用加密技术来确保授权。如果 ISP 发现您的某些电子邮件未使用 DKIM,他们可能会决定将那些没有签名的邮件发送到垃圾邮件文件夹。