假设我的域名是example.com,我们在example.com上有SMTP服务器的SPFlogging。 现在让我说我已经决定我想让example.org发送邮件为example.com 。我知道如何将example.org添加到SPF,但如果我想也使用DomainKeys或DKIM来validationexample.org将密钥需要在example.com或example.org ? 例如,
我会使用:
_domainkey.example.com. IN TXT "t=y\; o=~\;" xxxxxxx._domainkey.example.com. IN TXT "k=rsa\; p=xxxxxxxxxxx
要么
_domainkey.example.org. IN TXT "t=y\; o=~\;" xxxxxxx._domainkey.example.org. IN TXT "k=rsa\; p=xxxxxxxxxxx
也,
1)谁生成密钥? example.com或example.org ? (我很确定example.org会做钥匙,然后把我们公开给DNS,但不知道)
2)我是否需要SPF和密钥,还是只有密钥足以validation其他域,并允许它通过身份validation? (我在一个我只想用钥匙的地方)
3)在提供者检查方面哪个更好? 例如,供应商是否甚至检查密钥,因为它们是SPF?
作为一个电子邮件发件人正确地configuration您的服务器在build立信誉/信任方面有很长的路要走 几乎所有评估现在都是自动化的,许多组织对他们发布的内容都有select性。 大部分连接到我的服务器显然是垃圾邮件。
1)谁生成密钥? example.com或example.org? (我很确定example.org会做钥匙,然后把我们公开给DNS,但不知道)
您可以使用现有的密钥来签署这两个域。 诀窍是使用正确的签名者签署电子邮件。 我从发件人地址提取域名并签名为该域名。
具有不同select器的多个活动公钥是完全可以接受的。 在密钥更换期间,您需要激活旧密钥和新密钥。 密钥应该定期更换。
如果您充当中继服务器并且example.org正在签名,则需要生成他们使用的密钥。 无论谁在维护签名域的DNS,都需要添加用于签名消息的select器的公钥。
在签名服务器上生成密钥是最安全的。 这将消除在其他地方拥有私钥的需要。 公钥是公开的,将被公开,所以没有必要保护它。
许多大型组织未能公开他们的公钥。 我赞扬你的努力是正确的。
2)我是否需要SPF和密钥,还是只有密钥足以validation其他域,并允许它通过身份validation? (我在一个我只想用钥匙的地方)
SPF和DKIM都是可选的,但它们确实有助于将服务器与spambot区分开来。 我build议为所有域使用SPF。 这可以像发送电子邮件的域v=spf1 a mx -all一样简单,对于邮件服务器v=spf1 a -all all,对于所有其他域v=spf1 -all可以。
3)在提供者检查方面哪个更好? 例如,供应商是否甚至像SPF一样检查密钥?
SPF更可靠,但我相信大多数大型网站都在检查DKIM和SPF。 带有严格SPF政策的通行证是电子邮件有效的良好指标。 根据我的经验,许多组织都使用SPF来评估邮件。
对于邮件服务器,我推迟接受邮件,除非:邮件服务器的域名或其父域不存在SPF策略; 或SPF为其域或其父项传递SPF值。 软通行证被认为是失败的。
正如我所指出的,许多大型组织都没有公布他们的DKIM公钥。 因此,我怀疑DKIM自身会导致很多问题。 有效的DKIM签名似乎有助于build立信誉/信任。 但是,如果您发布了DMARClogging,则可能会应用其政策。
为该域发布DMARClogging允许您使SPF和DKIM签名策略可用于自动validation。 DMARC允许接收服务器向您发送有关您的域名的电子邮件到达的详细信息,以及如何处理它们。 Gmail和雅虎都向我发送了报告。 从通知唯一政策开始,直到您确定您的邮件正确签名,并且SPF正在运行。