Nossa organização está configurando uma conta com um serviço de nuvem terceirizado que enviará e-mails em nosso nome. Nosso departamento de marketing gostaria de eliminar os bits “via” ou “em nome de” que alguns clientes mostram para que pareça que os e-mails vieram diretamente de nós. Examinando a página de ajuda de terceiros sobre esse assunto, eles solicitam que insiramos um registro DKIM em nossa zona para seu servidor. Atualmente implementamos SPF para nossos servidores de e-mail, mas não DKIM.
- Apenas um registro DKIM TXT é suficiente para permitir que terceiros enviem mensagens em nome de nossa organização (sem atualizar nossa política SPF ou adicionar quaisquer outros registros referentes ao seu servidor)?
- Além do óbvio que estamos permitindo que terceiros enviem e-mails legítimos de nosso domínio, há algum impacto no resto do nosso sistema (segurança ou outro) ao inserir esse registro DKIM?
Responder1
Se você tiver um registro SPF que não permite que os servidores do seu provedor de serviços enviem e-mails, qualquer destinatário que verifique apenas o SPF ou tanto o SPF quanto o DKIM provavelmente não aceitará a falha do SPF.
Eu acho que o provedor de serviços fornece umaincludediretiva SPF ou similar para lidar com isso também.Não, não deveria haver. As chaves DKIM são pesquisadas com base no valor do seletor associado a elas; não há registro DKIM geral para o domínio como um todo, apenas para os seletores específicos especificados no correio assinado DKIM. Adicionar um registro DKIM não afeta mensagens não assinadas ou mensagens assinadas com chaves para outros seletores.
O registro DKIM apenas permite que o detentor da chave mostre com um nível razoável de certeza* que o e-mail enviado foi aprovado pelo proprietário do domínio.
*) A menos que a zona que contém o registro DKIM seja assinada por DNSSEC, não há como validar a autenticidade dos dados do registro. Validar uma assinatura com base em uma chave que foi obtida sob tais circunstâncias irá obviamente limitar consideravelmente o que foi realmente provado.
Responder2
Cada ESP possui instruções específicas para autenticação de e-mail. Alguns solicitarão que você configure um subdomínio para marketing, como em.example.com IN CNAME wl.sendgrid.net, outros uma combinação de include: SPF.example.com para seu SPF e um registro de texto dkim.
Siga as instruções específicas, mas certifique-se de permanecer em conformidade, para SPF deve haver menos de 10 pesquisas de DNS, para DKIM você só pode ter uma chave por seletor.
Publique seu ESP e podemos fornecer esses detalhes.