Наша организация создает учетную запись в стороннем облачном сервисе, который будет отправлять электронные письма от нашего имени. Наш маркетинговый отдел хотел бы исключить биты «через» или «от имени», которые показывают некоторые клиенты, чтобы выглядело так, будто электронные письма пришли напрямую от нас. Просматривая страницу справки третьей стороны по этому вопросу, они просят нас вставить запись DKIM в нашу зону для их сервера. В настоящее время мы реализуем SPF для наших почтовых серверов, но не DKIM.
- Достаточно ли только записи DKIM TXT для того, чтобы разрешить третьей стороне отправлять почту от имени нашей организации (без обновления нашей политики SPF или добавления каких-либо других записей, ссылающихся на их сервер)?
- Помимо очевидного факта, что мы разрешаем третьей стороне отправлять законные электронные письма с нашего домена, оказывает ли вставка этой записи DKIM какое-либо влияние на остальную часть нашей системы (безопасность или иное)?
решение1
Если у вас есть запись SPF, которая запрещает серверам вашего поставщика услуг отправлять почту, любой получатель, который проверяет либо только SPF, либо и SPF, и DKIM, скорее всего, не воспримет отказ SPF благосклонно.
Я думаю, что поставщик услугincludeтакже дает вам директиву SPF или что-то подобное, чтобы справиться с этим.Нет, не должно быть. Ключи DKIM ищутся на основе значения селектора, связанного с ними; для домена в целом нет общей записи DKIM, есть только для определенных селекторов, указанных в подписанном DKIM письме. Добавление записи DKIM не влияет на неподписанную почту или почту, подписанную ключами для других селекторов.
Запись DKIM позволяет владельцу ключа только с разумной степенью уверенности* показать, что отправляемое им письмо одобрено владельцем домена.
*) Если зона, содержащая запись DKIM, не подписана DNSSEC, нет способа проверить подлинность данных записи. Проверка подписи на основе ключа, который был извлечен при таких обстоятельствах, очевидно, значительно ограничит то, что было фактически доказано.
решение2
У каждого ESP есть особые инструкции по аутентификации электронной почты. Некоторые попросят вас настроить поддомен для маркетинга, например em.example.com В CNAME wl.sendgrid.net, другие — комбинацию из: SPF.example.com для вашего SPF и текстовую запись dkim.
Следуйте их конкретным указаниям, но обязательно соблюдайте требования: для SPF количество DNS-запросов не должно превышать 10, для DKIM на селектор можно использовать только один ключ.
Опубликуйте свой ESP, и мы сможем предоставить вам эту информацию.