Unsere Organisation richtet ein Konto bei einem Cloud-Dienst eines Drittanbieters ein, der in unserem Namen E-Mails versendet. Unsere Marketingabteilung möchte die Angaben „via“ oder „im Namen von“ entfernen, die manche Kunden anzeigen, damit es so aussieht, als kämen die E-Mails direkt von uns. Auf der Hilfeseite des Drittanbieters zu diesem Thema werden wir aufgefordert, einen DKIM-Eintrag in unsere Zone für ihren Server einzufügen. Derzeit implementieren wir SPF für unsere Mailserver, aber kein DKIM.
- Reicht ein DKIM-TXT-Eintrag aus, um Dritten das Senden von E-Mails im Namen unserer Organisation zu gestatten (ohne unsere SPF-Richtlinie zu aktualisieren oder andere Einträge hinzuzufügen, die auf ihren Server verweisen)?
- Abgesehen von der offensichtlichen Tatsache, dass wir Dritten gestatten, legitime E-Mails von unserer Domäne aus zu senden: Hat das Einfügen dieses DKIM-Eintrags Auswirkungen auf den Rest unseres Systems (Sicherheit oder andere Dinge)?
Antwort1
Wenn Sie einen SPF-Eintrag haben, der den Servern Ihres Dienstanbieters das Senden von E-Mails untersagt, wird jeder Empfänger, der entweder nur SPF oder sowohl SPF als auch DKIM überprüft, den SPF-Fehler wahrscheinlich nicht gutheißen.
Ich würde annehmen, dass der Dienstanbieter Ihnenincludeauch eine SPF-Richtlinie oder Ähnliches gibt, um dies zu handhaben.Nein, das sollte es nicht. Die DKIM-Schlüssel werden anhand des ihnen zugeordneten Selektorwerts gesucht; es gibt keinen allgemeinen DKIM-Eintrag für die gesamte Domäne, sondern nur für die spezifischen Selektoren, die in der mit DKIM signierten E-Mail angegeben sind. Das Hinzufügen eines DKIM-Eintrags wirkt sich nicht auf nicht signierte E-Mails oder E-Mails aus, die mit Schlüsseln für andere Selektoren signiert wurden.
Der DKIM-Eintrag ermöglicht dem Inhaber des Schlüssels lediglich, mit einem angemessenen Maß an Sicherheit* nachzuweisen, dass die von ihm gesendete E-Mail vom Domäneninhaber genehmigt wurde.
*) Sofern die Zone, die den DKIM-Eintrag enthält, nicht DNSSEC-signiert ist, gibt es keine Möglichkeit, die Echtheit der Eintragsdaten zu validieren. Die Validierung einer Signatur auf Grundlage eines unter solchen Umständen abgerufenen Schlüssels schränkt das, was tatsächlich bewiesen wurde, offensichtlich erheblich ein.
Antwort2
Jeder ESP hat spezifische Anweisungen zur E-Mail-Authentifizierung. Einige werden Sie bitten, eine Subdomäne für Marketingzwecke zu konfigurieren, wie em.example.com IN CNAME wl.sendgrid.net, andere eine Kombination aus include: SPF.example.com für Ihren SPF und einen DKIM-Textdatensatz.
Befolgen Sie die jeweiligen Anweisungen, achten Sie jedoch auf die Einhaltung der Vorschriften. Für SPF dürfen weniger als 10 DNS-Lookups erforderlich sein und für DKIM ist nur ein Schlüssel pro Selektor zulässig.
Posten Sie Ihr ESP und wir können Ihnen die Einzelheiten mitteilen.