Estou tentando avaliar se a assinatura do DKIM deve ser feita pelo aplicativo de envio de e-mail (por exemplo, o software da lista de e-mails que você está usando) ou pelo agente de transferência de e-mail (sendmail, postfix etc.).
Você conhece algum bom argumento de qualquer forma?
Até onde eu posso ver, fazer isso no MTA, como no dkim-milter, é muito mais fácil de configurar.
No entanto, se alguém tiver acesso ao servidor, mesmo que seja apenas uma conta sem privilégios normal, como o login de um cliente de hospedagem, eles poderão enviar e-mails usando o sendmail e obter a bênção completa da assinatura DKIM.
Qual você acha que é a melhor solução para minha situação? Estou usando um servidor Debian com apache, postfix, php & mysql, etc.
Eu corro o nosso no nível MTA em nosso servidor SMTP do Windows com este produto .
Isso foi muito mais fácil para nós configurarmos também.
Minha atitude é proteger o servidor SMTP com outras medidas de proteção (firewall, segmentação de rede, acl, etc). Se alguém chegar a esse servidor, a menor das minhas preocupações é se o SPAM está sendo enviado - meu servidor já pertence a outra pessoa:)
Eu acredito que o MTA é o local apropriado e sensato e muito mais fácil de implementar e manter. Por que você quer as dores de cabeça de tentar fazer isso em cada cliente, mesmo que esse cliente seja capaz disso?
As assinaturas DKIM geralmente contêm cabeçalhos que somente o MTA conheceria: por exemplo; ID da mensagem e recebido.