domain.com 托管的子域上的 DKIM 以及自动生成的 DKIM 密钥

domain.com 托管的子域上的 DKIM 以及自动生成的 DKIM 密钥

我读过这里的几个不同的帖子,也试过它们,但它们似乎对我不起作用,所以我希望你们中有人能帮我。请原谅,但这篇文章会有点长。

我正在与一家非营利组织合作,他们把网站的 DNS 设置在 domain.com 上,我们的电子邮件通过 Google Workspace 发送。我们的常规电子邮件地址都以 @ourdomain.org 结尾,并且我们通过 Constant Contact 等网站为营销电子邮件设置了一个子域名 @mail.ourdomain.org。

我正在使用 Dmarcian.com 来分析我们的 DMARC 报告,但我对为什么会发生一些事情感到困惑。

对于 @ourdomain.org 报告,一切都顺利通过。但我注意到,在检查 DKIM 记录时,会显示第二个 DKIM 记录。选择器是 XXXXXXXX(8 位数字),域名是 mail-ourdomain-org.XXXXXXXX.gappssmtp.com。我知道这是 Google 自动生成的 DKIM 密钥,但我试图弄清楚如何(或者是否有可能)将此密钥添加到我们的 DNS 记录中。由于 ourdomain.org 未在任何地方列出,所以我不知道需要在我们的 DNS 记录中列出什么作为选择器才能使其有效。一切似乎都通过了,因为 Dmarcian 显示了这两个密钥,它通过了 DKIM,这要归功于我们自己输入的密钥,即使第二个密钥没有显示出来。

但是,对于我们的 mail.ourdomain.org 地址,我们遇到了更大的问题。Domain.com 不允许我们直接编辑子域的 DNS 记录,我们只能编辑主域上的 DNS 记录。因此,我们采取了以下措施。

两个 SPF 记录:一个名称为 @,另一个名称为 mail。这样主域名和邮件子域名都可以拥有 SPF 记录,并且都可以完美运行。

一个 DMARC 记录,名称为 _dmarc,其中没有 SP 标签,因此隔离设置从主域传播到所有子域,并且运行正常。

我们的主要域密钥似乎都运行良好。对于我们的子域 DKIM 密钥,似乎一切都表明使用名称“XXX._domainkey.mail”,其中 XXX 是选择器应该是什么。这样它就适用于子域邮件,而不是主域。我们已经这样做了,它已经存在了两三天,但似乎没有任何东西在使用它。相反,它只使用我之前提到的相同的自动生成的 google DKIM 密钥,至少根据 Dmarcian 报告

我知道这很多,但我想让每个人都知道在我问所有问题之前我已经尝试做了什么。

1:有没有办法将自动生成的 Google DKIM 密钥放入我们的 DNS 记录中?如果是这样,我应该将什么列为选择器,以及我应该在我们的 DNS 设置中将其命名为什么。

2:我是否应该在 domain.com 上输入其他名称,以便将其应用于子域,或者我是否只需要等待更长时间才能使其显示在 dmarcian.com 报告中?我认为只是需要等待更长时间,因为我尝试在 mxtoolbox 上查找,并且它找到了记录。我只是希望比我更聪明的人能够参与进来。

编辑:根据 Paul 的要求添加标题

Delivered-To: [email protected]
Received: by 2002:a1f:2b88:0:0:0:0:0 with SMTP id r130csp4040166vkr;
        Sun, 18 Jul 2021 18:16:37 -0700 (PDT)
X-Received: by 2002:a7b:c762:: with SMTP id x2mr21216464wmk.21.1626657397670;
        Sun, 18 Jul 2021 18:16:37 -0700 (PDT)
ARC-Seal: i=1; a=rsa-sha256; t=1626657397; cv=none;
        d=google.com; s=arc-20160816;
        b=sE9smyJn9mlhmvSnyZ8bnUFCimZtimBJjX+xkuBqjaC2+vAIoUBfazzG4sIadez7Al
         Nno8/kYK2fbhMk9QcMUwfV40fzMzbc9lmogX0QPE4nevzi9nf1wDLL0s6gL/a45OHAc3
         xTvuxllcO5fgHa3wRR5aIIOrPzGhOO/45iDadwPG0861UeM0oHQOW5QA3td3eEt5cWfG
         +sOy2dJF4u86H5uiVMoTj3pnJoTR09qWJ/j7H6tmHhoH2lbPaXmfXr81dH/zs0+g8bLi
         3yCVM4fg97ZpC2V3qerAmv1AkjY5MwmDuNCUraRH7AI+hwofhOiMvrE9CAH1xaajNQmQ
         wiXg==
ARC-Message-Signature: i=1; a=rsa-sha256; c=relaxed/relaxed; d=google.com; s=arc-20160816;
        h=to:subject:message-id:date:from:mime-version:dkim-signature;
        bh=Wr7w3dtotvYQO/Q/74BBr61l0LbM/Z70VXQtzUDIE8k=;
        b=hahPTn2HQR8xqwz169O19ZqWTatdFNeQYKbnDZqe4ksWKe43oi7nskdG6OnKkVtlzQ
         YIc8QL8uj/vsDLMwFZGD9qYglKcjmzcfuA6gChsnL7LqkO7t0K6p2LSNDLmqY9OgVQ4B
         5GAvorSkywt5KpSRvG+VpkI20M5ZqgmPT+n2B96aX36bdtLd749iWQrCDuRWgb69BAmt
         nIdhB4BAw0fDvLW0B5HwUr1JV+coXI2U89movkJ+ichKmok4khUhp7ev6z9aqt+4OVxm
         vpX1E7X4ESUO0/PTABo9sNunt2O9eg2ruUsKB3xzwSabhMuaJ82bbWqDjack0y5f8MWD
         twOA==
ARC-Authentication-Results: i=1; mx.google.com;
       dkim=pass [email protected] header.s=mail header.b=GJDcn+LO;
       spf=pass (google.com: domain of [email protected] designates 209.85.220.41 as permitted sender) [email protected];
       dmarc=pass (p=QUARANTINE sp=QUARANTINE dis=NONE) header.from=ourdomain.org
Return-Path: <[email protected]>
Received: from mail-sor-f41.google.com (mail-sor-f41.google.com. [209.85.220.41])
        by mx.google.com with SMTPS id k13sor7841198wrc.37.2021.07.18.18.16.37
        for <[email protected]>
        (Google Transport Security);
        Sun, 18 Jul 2021 18:16:37 -0700 (PDT)
Received-SPF: pass (google.com: domain of [email protected] designates 209.85.220.41 as permitted sender) client-ip=209.85.220.41;
Authentication-Results: mx.google.com;
       dkim=pass [email protected] header.s=mail header.b=GJDcn+LO;
       spf=pass (google.com: domain of [email protected] designates 209.85.220.41 as permitted sender) [email protected];
       dmarc=pass (p=QUARANTINE sp=QUARANTINE dis=NONE) header.from=ourdomain.org
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
        d=mail.ourdomain.org; s=mail;
        h=mime-version:from:date:message-id:subject:to;
        bh=Wr7w3dtotvYQO/Q/74BBr61l0LbM/Z70VXQtzUDIE8k=;
        b=GJDcn+LOYU6rF4Bk6RJ3u/4s5a7WEak0lqLJdRh5ANSObxn5MjBu8usjlJUttUQbTr
         l+XYv3/9hSCoCyIHlbSK1kx7QMwMIxg+dWruSggGHl4dTyl+hlD9PCrkM1dbsxfLt4PB
         MJOkGytdvbrSdVsL7zGPDRPYaD9t00KjxciZtqHbcxQ/bRSAc3kNAqTBnEHbSasNl7xU
         yeB/2oSRUcJOUe5V4hB8WECimZw9PhjWXgmyiR/2hzk84Yj0isV242ErCQfOxqvAKlJe
         yYjZOCZm1c5pyBlZMZG0ePCk+6EYvNqrNGG3KoeT5Ow2E5kn4i5/rTZ7YtXBLyLmL2Bv
         Xpnw==
X-Google-DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
        d=1e100.net; s=20161025;
        h=x-gm-message-state:mime-version:from:date:message-id:subject:to;
        bh=Wr7w3dtotvYQO/Q/74BBr61l0LbM/Z70VXQtzUDIE8k=;
        b=AiykOf6fowHFVS4eADfQbNAFkaF5KHVVwDC20BEFcJDewWahqlhpNShS9o1hROC3EY
         5Rq6in+UTVYLKGR5qzIGCfMzfK5ufaHLv80tGh0iShrlnklNlsXs8g1pxSPc370cbLyw
         kkOEbHFGwfvujIqlx8+EhTD0FlH2PqbYD2u7iZ0QJiHQbHIwsuxXubG+bJcXjSloRocO
         mL/WZaq4eu0TZTXWFS17U18sfcH0lMow6jwXEguzj7uahQgpcCSfI26N/1oLojRe/jWs
         NBVzKQyfxS6jt5z5HKfIXuOZq3WYats/UxnTwpr/vc3SfAoCNnQFeYYNeZAsM2QfE1ex
         LppQ==
X-Gm-Message-State: AOAM531McamrYiuTJbBHfcs2KJZ5BnBiyGNLLanxz4xbwLqV2mItZnVA 32CNG87MEuObv2JKNlGqTm228wUF2glphb15pWG2Hx+OfhFYjA==
X-Google-Smtp-Source: ABdhPJz2gfrGpRxzwOnvBgQL4bWCZK6Ai1EYRdKP5DfILdn9FpSXaRkTochg1PDCjhAJycXGSx8QqQcYEBaGAqNVY3w=
X-Received: by 2002:adf:90e2:: with SMTP id i89mr27585849wri.338.1626657396714; Sun, 18 Jul 2021 18:16:36 -0700 (PDT)
MIME-Version: 1.0
From: Test Account <[email protected]>
Date: Sun, 18 Jul 2021 18:16:25 -0700
Message-ID: <CA+XJ9wVJCfhWGgVe2CYXeTwTvxWqBCowFiDZuOZaKQazKf_CXg@mail.gmail.com>
Subject: DKIM Email Test
To: [email protected]
Content-Type: multipart/alternative; boundary="0000000000004d80d805c76fb0f2"

--0000000000004d80d805c76fb0f2
Content-Type: text/plain; charset="UTF-8"

DKIM Email Test

--0000000000004d80d805c76fb0f2
Content-Type: text/html; charset="UTF-8"

<div dir="ltr">DKIM Email Test</div>

--0000000000004d80d805c76fb0f2--

答案1

这些X-Google...标头是 Google 特有的。由于 Google 不会指示您为这些标头配置记录,因此您可以放心地忽略它们。

如果您觉得 dmarcian 有问题,请尝试联系他们的支持人员。

答案2

将自动生成的 Google DKIM 密钥放入我们的 DNS 记录中

无需输入此密钥你的DNS,因为您的邮件由多方签名是完全没问题的。使用 Google 使用的密钥进行签名,再加上您自己的签名,也是完全没问题的。

Google 使用以下步骤来澄清正在发生的事情:

  • 他们曾经d=1e100.net澄清说,这个密钥在你的域名中找不到,但可能(也可能不会)在那个众所周知的 Google 所拥有的域名中找到
  • 他们在包含该签名的标题前加上前缀,以X-Google-澄清即使它看起来就像 DKIM 签名一样,它不应该出现在除专门用于关注此类 Google 特定标头的工具之外的工具中

让它适用于子域名

如果子域名选择器实际上被称为mail,在我看来,在一个可以(应该)传达一些含义的地方,这听起来有点多余。完全有效。如果这不是你想要的,你应该改变它调整您的 DKIM 配置,确定使用哪些密钥对哪些子域进行签名。

否则,请显示您当前的配置以阐明它当前执行什么操作(或不执行什么操作)。

相关内容