DKIM:是各自為政還是一個人統治所有人?
[英]DKIM: To each their own or one to rule them all?
問題描述
我已被移交負責為多個域提供服務的 email 網關,並與一位同事進行了一場哲學辯論。 在我們的設置中,網關是向所有外發電子郵件添加 DKIM 簽名的實例,我被告知每個域需要不同的 DKIM 密鑰對,我沒有 object 這個請求,但似乎沒有人能夠解釋原因。
這是我對 DKIM 過程的理解:
私有 DKIM 密鑰(全部一個或每個域一個)保存在網關上
公共 DKIM 密鑰發布在域 DNS 記錄中
對於每個傳出的 email,網關將使用私鑰加密隨機字符串並將其添加到 email header,以及明文字符串和 DNS 中 DKIM 條目的名稱(選擇器)。
接收 email 服務器...
a、從email header取發送域和DKIM選擇器
b、查找發送域DNS中存儲的公鑰
c,使用DKIM公鑰解密email中的加密字符串 header
如果解密的字符串與明文匹配,則 DKIM 驗證成功
如果以上是正確的,為什么我需要域個人 DKIM 密鑰? 為什么托管在同一台服務器上的所有域不能共享相同的公共/私人 DKIM 密鑰? 事實上,如果 DKIM 應該證明發送服務器的有效性,那么對所有域使用相同的密鑰對是否會更准確,因為它是所有域的同一服務器?
從技術角度來看,我認為這兩個概念都會起作用,隨着域數量的增加,域特定的 DKIM 密鑰代表了更多的工作。 我很樂意使用單獨的密鑰對 go,但我想了解原因。
任何一種方式的好處/缺點是什么? 有人有意見嗎?
1 個解決方案
解決方案1
1 2022-04-11 11:06:07
我看到系統能夠為不同的域使用不同的 DKIM 密鑰的價值,以防必須為一個域撤銷 DKIM 密鑰而不影響其他域。 如果作為重播/垃圾郵件攻擊的一部分將簽名消息發送給許多新收件人,這可能是可取的(請參閱 RFC 的第8.6和8.7節)。 但是,當所有域都使用相同的密鑰開始時,您也可以撤銷單個域的 DKIM 密鑰——只要您的系統能夠處理這種情況。 我看不出在每個域開始/強制執行不同的 DKIM 密鑰有什么好處(但也沒有壞處)。
(人們可能會為增加隱私提出爭論,但您的服務器的 IP 地址無論如何都會通過其他消息標頭泄漏(除非您的設置旨在避免這種情況)。這意味着可以看出同一台服務器處理多個傳出消息域,即使這些域使用不同的 DKIM 密鑰。)
如何通過Amazon SES最大化交付能力? DKIM,SPF,發件人ID還是全部?
[英]How to maximize deliverability through Amazon SES? DKIM, SPF, Sender Id or all of them?
DKIM標頭規范化是否在To:標頭中的每個逗號后插入空格?
[英]Does DKIM header canonicalization insert a space after each comma in the To: header?
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.