web-dev-qa-db-ja.com

私たちに代わって電子メールを送信するサードパーティにDKIMレコードを挿入することの意味は何ですか?

私たちの組織は、私たちに代わってメールを送信するサードパーティのクラウドサービスでアカウントを設定しています。私たちのマーケティング部門は、一部のクライアントが表示する「経由」または「代理」ビットを削除して、メールが私たちから直接送信されたように見せたいと考えています。このテーマに関するサードパーティのヘルプページを見ると、サーバーのゾーンにDKIMレコードを挿入するように要求されています。現在、メールサーバーにはSPFを実装していますが、DKIMは実装していません。

  1. DKIM TXTレコードだけで、サードパーティが組織に代わってメールを送信できるようになります(SPFポリシーを更新したり、サーバーを参照する他のレコードを追加したりする必要はありません)。
  2. サードパーティがドメインから正当な電子メールを送信することを許可していることは明らかですが、このDKIMレコードを挿入することで、システムの他の部分(セキュリティなど)に影響はありますか?
emailspfdkimdns-zone
3
glibdud

  1. サービスプロバイダーのサーバーがメールを送信することを許可しないSPFレコードがある場合、SPFのみ、またはSPFとDKIMの両方をチェックする受信者はSPFの失敗に親切に対応しない可能性があります。
    サービスプロバイダーは、これを処理するためにSPF includeディレクティブなどを提供していると思います。

  2. いいえ、あるべきではありません。 DKIMキーは、関連付けられているセレクター値に基づいて検索されます。ドメイン全体の一般的なDKIMレコードはなく、DKIM署名付きメールで指定された特定のセレクターのみが対象です。 DKIMレコードを追加しても、署名されていないメールや他のセレクターのキーで署名されたメールには影響しません。
    DKIMレコードでは、キーの所有者は、送信するメールがドメイン所有者によって承認されていることを合理的なレベルの確実性*で示すことができます。

*)DKIMレコードを含むゾーンがDNSSEC署名されていない限り、レコードデータの信頼性を検証する方法はありません。このような状況でフェッチされたキーに基づいて署名を検証すると、実際に証明されたものがかなり制限されることは明らかです。

3
Håkan Lindqvist

すべてのESPには、メール認証に関する特定の手順があります。em.example.comINCNAME wl.sendgrid.netのように、マーケティング用のサブドメインを構成するように求められるものもあれば、SPFの組み合わせもあります。 SPFとdkimテキストレコードの.example.com。

特定の指示に従いますが、準拠していることを確認してください。SPFの場合はDNSルックアップが10未満である必要があり、DKIMの場合はセレクターごとに1つのキーしか持てません。

あなたのESPを投稿してください。私たちはあなたにそれらの詳細を与えることができます。

0
Jacob Evans