在我pipe理的网站上,我们发送了许多客户域的电子邮件。
其中一些在DNS中有我们的DKIM密钥,有些则没有。
从我可以告诉 :
签名validation失败不会强制拒绝邮件。
但实际上是这样吗? 在现实世界中,我可以用我们的钥匙(没有做SRS )来签署一切,并快乐吗?
但实际上是这样吗?
是。
在现实世界中,我可以用我们的钥匙(没有做SRS)来签署一切,并开心吗?
是。 这是经常做的没有不良影响。 某些MTA不够巧妙,无法使用每个域名DKIM密钥对消息进行签名,只能按照您所描述的方式进行操作,只需使用一个密钥对所有内容进行签名即可。 我亲自修改了两个MTA来添加每域DKIM签名支持。
电子邮件通常在传送互联网时携带多个DKIM-Signature标头。 组织MTA向DKIM签名消息并不常见,然后将其中继到它们的ISP的智能主机,DKIM也签署该消息。 该消息的收件人将因此看到两个DKIM签名。
TLDR;
DKIM = DomainKeys识别的邮件。 当接收者validationDKIM签名时,他们只是validation消息发送者的身份 。 例如,如果收到的电子邮件带有DKIM签名标头和ad = example.com属性,并且该DKIM签名已通过validation,则收件人可以相信该邮件是由以下组织发送的:
这与消息承载的DKIM签名头一样多。
实际上没有人拒绝基于失败的DKIM签名的电子邮件。 无法取得域DKIM公钥算作失败。 相当大比例的有效电子邮件stream已经破坏了DKIM签名,特别是在已经过邮件列表的邮件上。
DMARC不会更改DKIM。 完全一样。 DMARC = 基于域的消息authentication,报告和一致性 。 DMARC是用于validation电子邮件的发送域的机制,如消息的From标头中所示。 DMARC在打击networking钓鱼方面最为有效,因为它为电子邮件发件人提供了一种可靠的方式来说,“如果邮件的信封发件人不与我们的域(SPF)alignment, 或者发件人的邮件头与我们的域没有DKIMalignment,则消息不是由我们发送的,您应该(拒绝|隔离)它“。 DMARC还为域名所有者提供了一些出色的报告function。 DMARC通常被组织(银行,大型电子邮件提供商等)使用,不法分子有冒充模仿的动机。
因此,DMARC是DKIM和SPF上的一个策略层。 当使用DMARC时,它会对DKIM和SPF施加额外的alignment要求,以通过DMARCvalidation。 只有传递了并具有与消息From标头alignment的ad =属性的DKIM签名才能生成DMARC传递结果。 每个DKIM密钥仍然可以通过或不通过DKIMvalidation,并且对于DMARC之前或之后的DKIM,结果没有什么不同。
DMARC政策可以改变这一结果。 DMARC是SPF和DKIM的组合,它改变了性格。
1)成为允许发件人+通过DKIM,您将需要TXTlogging
2)和TXT / SPF与您的IP /域[作为SPF]。
电子邮件您签署没有实际的域名与密钥在那里TXTlogging将最终结束垃圾。 (注意:这不一定是拒绝,而是声誉)。