Nuestra organización está configurando una cuenta con un servicio en la nube de terceros que enviará correos electrónicos en nuestro nombre. A nuestro departamento de marketing le gustaría eliminar los bits "vía" o "en nombre de" que muestran algunos clientes para que parezca que los correos electrónicos provienen directamente de nosotros. Al revisar la página de ayuda del tercero sobre este tema, solicitan que insertemos un registro DKIM en nuestra zona para su servidor. Actualmente implementamos SPF para nuestros servidores de correo, pero no DKIM.
- ¿Es suficiente un registro DKIM TXT para permitir que un tercero envíe correo en nombre de nuestra organización (sin actualizar nuestra política SPF ni agregar ningún otro registro que haga referencia a su servidor)?
- Aparte de lo obvio de que estamos permitiendo que un tercero envíe correo electrónico legítimo desde nuestro dominio, ¿hay algún impacto en el resto de nuestro sistema (seguridad o de otro tipo) al insertar este registro DKIM?
Respuesta1
Si tiene un registro SPF que no permite que los servidores de su proveedor de servicios envíen correo, cualquier destinatario que verifique solo SPF o tanto SPF como DKIM probablemente no aceptará con agrado la falla del SPF.
Creo que el proveedor de serviciosincludetambién le proporciona una directiva SPF o similar para manejar esto.No, no debería haberlo. Las claves DKIM se buscan según el valor del selector asociado a ellas; No existe un registro DKIM general para el dominio en su conjunto, solo para los selectores específicos especificados en el correo firmado DKIM. Agregar un registro DKIM no afecta el correo sin firmar o el correo firmado con claves para otros selectores.
El registro DKIM solo permite al titular de la clave demostrar con un nivel razonable de certeza* que el correo que envía está aprobado por el propietario del dominio.
*) A menos que la zona que contiene el registro DKIM esté firmada por DNSSEC, no hay forma de validar la autenticidad de los datos del registro. Validar una firma basada en una clave que se obtuvo en tales circunstancias obviamente limitará considerablemente lo que realmente se demostró.
Respuesta2
Cada ESP tiene instrucciones específicas para la autenticación de correo electrónico. Algunos le pedirán que configure un subdominio para marketing, como em.example.com EN CNAME wl.sendgrid.net, otros incluyen una combinación de: SPF.example.com para su SPF y un registro de texto dkim.
Siga sus instrucciones específicas, pero asegúrese de cumplir con las normas, para SPF debe tener menos de 10 búsquedas de DNS, para DKIM solo puede tener una clave por selector.
Publique su ESP y podremos brindarle esos detalles.