3 votes

joao Beno avatar

DKIM : puis-je ajouter en toute sécurité un enregistrement de politique DomainKey sans casser le courrier électronique existant ?

Demandé el 26 de Janvier, 2022
Quand la question a-t-elle été
155 affichage
Nombre de visites la question a
2 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Je dois configurer DKIM pour valider un fournisseur de courrier électronique que nous utilisons. Dans la documentation du fournisseur, il nous demande d'ajouter deux enregistrements, un enregistrement de sélection et un enregistrement de politique, comme ceci :

selector._domainkey.mydomain.com TXT "k=rsa; p=mykeyhere"
_domainkey.mydomain.com  TXT "t=y; o=~"

Je suis préoccupé par l'ajout de cette nouvelle politique, car nous avons déjà un certain nombre de sélecteurs DKIM configurés dans notre zone DNS, sans enregistrement de politique existant (nous utilisons plusieurs fournisseurs tiers qui doivent envoyer des e-mails en notre nom). Je veux m'assurer que je ne casse pas la fonctionnalité existante en créant cet enregistrement. D'après ce que j'ai lu, il ne peut y avoir qu'une seule politique par zone, elle est donc "partagée", pour ainsi dire.

J'ai fait quelques recherches à ce sujet et sur la politique que le fournisseur exige, t=y; o=~ devrait être assez inoffensif. Il semble dire que certains courriels peuvent être signés, et qu'il faut traiter les courriels vérifiés/non vérifiés de la même manière ( référence ).

Néanmoins, cela aurait un impact sur notre application de production, et j'espère avoir la certitude que cet ajout est sûr. Ai-je raison de penser que je peux ajouter cet enregistrement sans qu'un grand nombre de nos e-mails sortants soient marqués comme spam ? Ou est-ce que quelque chose m'échappe ?

Demandé el 26 de Janvier, 2022 par joao Beno

Réponses

Trop de publicités?

4voto

Paul avatar
Paul Points 2607

L'enregistrement de la politique fait partie de la Authentification du courrier électronique basée sur le domaine à l'aide de clés publiques annoncées dans le DNS (DomainKeys) qui a été proposé mais qui est devenu immédiatement obsolète lors de la publication de RFC 4870 por RFC 4871 , Signatures DomainKeys Identified Mail (DKIM), qui ont tous deux été publiés en mai 2007.

La nouvelle norme DKIM n'utilise pas les enregistrements de politique qui faisaient partie de la norme DomainKeys obsolète.

La création de l'enregistrement de politique DomainKeys ne devrait pas causer de problèmes avec les enregistrements DKIM, que ce soit pour les serveurs émetteurs ou récepteurs.

Répondu el 27 de Janvier, 2022 par Paul (2607 Points )

0voto

dominix avatar
dominix Points 346

DKIM est un outil de signature. c'est un outil de vérification a posteriori dans le sens où vous ne pouvez pas deviner la clé du sélecteur avant de recevoir un message. il existe une convention pour nommer votre sélecteur "selector1" mais c'est juste un nom facile, car il n'y a pas de formulaire obligatoire pour le nom de votre sélecteur. Vous pouvez donc publier autant de sélecteurs DKIM dans votre enregistrement DNS, seuls ceux utilisés dans les messages envoyés seront vérifiés (éventuellement) une fois ces messages reçus. Et avec un peu de chance, ils seront vérifiés avec succès si votre publication DNS est corrélée à ces clés. Mais la publication des clés de sélecteur DKIM ne vous oblige pas à les utiliser en soi.

Le seul cas où DKIM entraînera un échec de la livraison est en conjonction avec DMARC, seulement si DMARC exige qu'il y ait une signature DKIM alignée avec votre domaine et que vous ne l'insérez pas dans votre message envoyé. Ou bien vous en avez inséré une dans votre message mais vous avez oublié de la publier dans votre DNS.

Comme votre DMARC ne nécessite pas d'alignement (policy=none), DKIM n'aura aucune incidence sur la prestation de vos services.

De nombreux messages contiennent plusieurs signatures DKIM, sans problème de livraison.

BTW(2) il serait bon de penser à ajouter une signature DKIM à vos anciens serveurs de messagerie afin de pouvoir utiliser DMARC pour mieux protéger votre entreprise contre le phishing, ou contre une fausse allégation de cliquer sur un lien suspect, mais c'est un autre sujet.

Répondu el 27 de Janvier, 2022 par dominix (346 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X