Migrando Provedores de E-mail; Vários registros DKIM são viáveis durante a transição?

5

Atualmente, estou reunindo requisitos para um projeto pequeno (esperançoso) de migração do SendGrid para o Mandrill como um provedor de serviços de email transacional. Estamos usando o SendGrid há cerca de 3 a 4 anos e, em média, cerca de 5k-10k e-mails por dia. Temos registros SPF e DKIM configurados adequadamente e, como resultado, temos uma taxa de rejeição / spam muito baixa e uma boa reputação como remetente.

Houve uma decisão de mudar para o Mandrill e agora devo garantir que a migração ocorra sem problemas com o mínimo de interrupções de serviço possível, iniciando assim o processo de aprovação / reputação novamente.

Eu sei que para entradas de SPF, é possível adicionar vários itens, então, por enquanto, vou manter ambos para SendGrid e Mandrill. No entanto, não tenho 100% de certeza sobre as entradas do DKIM. Alguns serviços recomendam entradas CNAME, enquanto outros sugerem entradas TXT.

Isso me leva a pensar se é possível ter uma entrada CNAME DKIM para um serviço e uma entrada TXT DKIM para o outro. Estou curioso sobre os efeitos de tal mudança. A verificação / verificação desta entrada é totalmente dependente do intermediário / destinatário? Ou eles geralmente vêem os dois e escolhem o primeiro?

Essencialmente, o que eu gostaria de fazer é encontrar uma maneira de fazer a transição lentamente de um serviço para o outro com o mínimo de interrupção possível. Nós tivemos problemas antes com a lista negra do ISP e eu gostaria muito de evitar isso.

Muito obrigado pelo seu tempo!

    
por Wilhelm Murdoch 23.11.2015 / 06:54

3 respostas

2

Vários registros DKIM são uma opção viável.

As chaves e registros DKIM devem ser substituídos periodicamente. Durante o processo de atualização, o registro antigo permanece por um período de tempo para permitir a verificação de mensagens em trânsito. Isso também pode permitir a revalidação de mensagens recebidas.

Não vejo nenhum valor em usar o CNAME para registros DKIM. Ele só adicionará pesquisas adicionais de DNS antes que o registro TXT necessário seja lido. Os registros DKIM devem ser adicionados sempre que a chave for alterada. Isso requer novos registros TXT e pode exigir novos registros CNAME também.

    
por 23.11.2015 / 07:41
2

Para responder à sua pergunta.

CNAME para o registro DKIM é apenas um método para que o ESP lide com a rotação de chaves sem ter acesso ao seu DNS ou solicitando que você altere seu Registro TXT DNS sempre eles giram a chave.

sector._domainkey.example.com. IN TXT "DKIM KEY"

sector._domainkey.example.org. IN CNAME sector._domainkey.example.com.

Se você adicionar o registro TXT, o provedor não girará as chaves para você ou você será o único a girar as chaves.

Você também pode configurar vários seletores de chave por serviço e executar o sendgrid e o mandril em paralelo, isso também permite testar o mandril antes de alternar para eles. Nota: Não há limite para o número de setores DKIM, há limites para o número de pesquisas de DNS para SPF (10).

    
por 25.11.2015 / 14:17
0

Este é um dos principais usos do campo seletor. É muito comum ver os ISPs terem registros de chaves de domínio como os seguintes -

201604._domainkey.mydomain.com

201604 refere-se ao ano & mês a chave foi criada neste exemplo (mas poderia ser qualquer coisa realmente) e seria definida como o seletor ao assinar e-mails de saída.

Ao substituir a chave ou migrar para outro local, basta criar um novo registro DKIM (por exemplo, 201705._domainkey.mydomain.com ). Quaisquer e-mails que passarem pelo sistema antigo ainda referenciarão o seletor 201604 e os e-mails do novo sistema farão referência ao novo. Ambos os registros DKIM podem obviamente existir no DNS sem qualquer problema e os servidores destinatários consultarão o especificado nos cabeçalhos do email.

É assim que a maioria dos provedores alteram suas chaves dkim regularmente, sem que nenhum e-mail seja assinado ou verificado incorretamente durante as atualizações do dns / servidor.

    
por 02.05.2017 / 15:02