Como um remetente de e-mail configurando corretamente o seu servidor, ele vai longe no estabelecimento de credibilidade / confiança. Quase toda a avaliação é automatizada agora e muitas organizações são seletivas sobre o que publicam. A maioria das conexões com o meu servidor é claramente spam.
1) Who generates the keys? example.com or example.org? (I am pretty sure that example.org would make the keys, then send us the public for DNS, but not sure)
Você pode usar a chave existente para assinar os dois domínios. O truque é assinar o email usando o signatário correto. Eu extraio o domínio do endereço do remetente e assino como esse domínio.
É perfeitamente aceitável ter várias chaves públicas ativas com seletores diferentes. Durante a substituição da chave, você desejará ativar as chaves antiga e nova. As chaves devem ser substituídas periodicamente.
Se você estiver agindo como um servidor de retransmissão e example.org estiverem assinando, eles precisarão gerar a chave que eles usam. Quem quer que esteja mantendo o DNS para o domínio de assinatura precisará adicionar a chave pública para o seletor usado para assinar as mensagens.
É mais seguro gerar a chave no servidor de assinatura. Isso eliminará a necessidade de ter a chave privada em qualquer outro lugar. A chave pública é pública e será publicada, por isso não há necessidade de protegê-la.
Muitas organizações grandes não publicam suas chaves públicas. Eu elogio você pelos seus esforços para acertar.
2) Would I need both SPF and keys or would keys alone be enough to authenticate the other domain and allow it to pass authentication? ( I am in a position where I would like to use only keys)
Tanto o SPF quanto o DKIM são totalmente opcionais, mas ajudam a distinguir seu servidor de um spambot. Eu recomendo usar o SPF para todos os domínios. Isso pode ser tão simples quanto v=spf1 a mx -all para domínios que enviam e-mail, v=spf1 a -all para servidores de e-mail e v=spf1 -all para todos os outros domínios.
3) Which one is better to use in terms of provider checking? For example, are providers even checking keys as much as they are SPF?
O SPF é mais confiável, mas acredito que a maioria dos sites grandes está verificando tanto o DKIM quanto o SPF. Um passe com uma política rígida de SPF é um bom indicador de que o email é válido. Na minha experiência, o SPF é usado por muitas organizações para avaliar mensagens.
Para servidores de correio, adio a aceitação de mensagens, a menos que: não exista política SPF para o domínio do servidor de correio ou seu pai; ou o SPF transmite a fanfarrice do SPF por seu domínio ou por seu pai. Passes suaves são considerados falhas.
Como observei, muitas grandes organizações não conseguiram publicar sua chave pública DKIM. Como resultado, duvido que o fracasso do DKIM por si só cause muitos problemas. Uma assinatura DKIM válida parece ajudar a estabelecer credibilidade / confiança. No entanto, se você publicou um registro DMARC, sua política pode ser aplicada.
A publicação de um registro DMARC para o domínio permite disponibilizar políticas de assinatura SPF e DKIM para validação automática. O DMARC permite que o servidor de recebimento envie detalhes sobre de onde os e-mails de seus domínios estão chegando e como eles foram tratados. Gmail e Yahoo me enviam relatórios. Comece com uma política de notificação somente até ter certeza de que seu email está corretamente assinado e o SPF está funcionando.