DKIM: Pot adăuga în siguranță o înregistrare a politicii DomainKey fără a întrerupe e-mailul existent?

Trebuie să configurez DKIM pentru a valida un furnizor de e-mail pe care îl folosim. În documentația furnizorului, aceștia ne solicită să adăugăm două înregistrări, o înregistrare de selecție și o înregistrare de politică, astfel:

selector._domainkey.mydomain.com TXT "k=rsa; p=mykeyhere"
_domainkey.mydomain.com TXT „t=y; o=~”

Sunt îngrijorat de adăugarea acestei noi politici, deoarece avem deja destul de multe selectoare DKIM configurate în zona noastră DNS, fără nicio înregistrare a politicii existente (folosim mai mulți furnizori terți care trebuie să trimită e-mailuri în numele nostru). Vreau să mă asigur că nu rup funcționalitatea existentă creând această înregistrare. Din câte am citit, puteți avea doar o singură politică pe zonă, deci este „compartită”, ca să spunem așa.

Am cercetat puțin acest lucru și politica pe care o cere furnizorul, t=y; o=~, ar trebui să fie destul de inofensiv. Se pare că unele e-mailuri pot fi semnate și să trateze e-mailurile verificate/neverificate în același mod (referinţă).

Totuși, acest lucru ar avea impact asupra aplicației noastre de producție și sper să obțin o oarecare încredere că acest lucru este sigur de adăugat. Sunt corect în presupunerea mea că pot adăuga această înregistrare fără ca o grămadă din e-mailurile noastre de ieșire să fie marcate ca spam? Sau imi scapa ceva?

DKIM este un instrument de semnătură. este un instrument de verificare ulterioară, în sensul că nu puteți ghici cheia selectorului înainte de a primi un mesaj. Există o convenție de a numi selectorul dvs. „selector1” dar este doar un nume ușor, deoarece nu există un formular obligatoriu pentru nume a selectorului dvs. Așadar, puteți publica cât mai mulți selectori DKIM în înregistrarea DNS, doar cei utilizați în mesajul trimis vor fi verificați (eventual) odată ce aceste mesaje vor fi primite. Și sperăm că vor fi verificate cu succes dacă publicația dvs. DNS este corelată cu aceste chei. Dar publicarea tastelor de selectare DKIM nu vă obligă să le utilizați în sine.

Singurul caz în care DKIM va duce la eșec de livrare este în combinație cu DMARC, numai dacă DMARC solicită să existe o semnătură DKIM aliniată domeniului dvs. și nu reușiți să introduceți una în mesajul trimis. Sau ai introdus unul în mesajul tău, dar ai uitat să-l publici în DNS-ul tău.

Deoarece DMARC dvs. nu necesită aliniere (politică=niciuna), DKIM nu va afecta deloc livrarea afacerii dvs.

BTW multe mesaje au mai multe semnături DKIM în ele, fără probleme de livrare.

BTW(2) ar fi o idee bună să vă gândiți să adăugați o semnătură DKIM la serverele dvs. de e-mail vechi, astfel încât să puteți utiliza DMARC pentru a vă proteja mai bine afacerea de phishing sau de acuzațiile false de a face clic pe linkurile suspecte, dar este o altă subiect.