Estou usando o Gmail com domínio próprio (Google Apps) para meu projeto. Agora quero adicionar servidor de email externo para enviar notificações para usuários. O Gmail não fornece chaves privadas para o DKIM e se as chaves forem geradas no servidor de email externo, no caso de regras estritas, todas as mensagens do Gmail serão rejeitadas. Como posso usar o SPF + DKIM + DMARC nessa situação para evitar falsificação de mensagens?
Adicione o servidor ao seu registro SPF existente com algo como ip4:<server ip address>
Se você quiser a assinatura DKIM das mensagens, você pode usar o OpenDKIM , um milter popular, e atualizar seu DNS com o seletor.
Você provavelmente não precisa editar nada em seu registro DMARC, mas se não tiver certeza, poderá achar alguns desses recursos úteis no Ferramentas de implantação do DMARC .
Você não poderá enviar e-mails com um endereço de e-mail do Gmail no From: Header se não usar um servidor do qual o Gmail deseja que você envie e-mails. Esse é o mecanismo básico de restaurar a confiança nos endereços de e-mail dkim, spf e assim por diante.
Tanto quanto eu entendo isso. Se você precisar enviar e-mails a partir do seu próprio servidor, obtenha seu próprio domínio, crie suas próprias chaves privadas dkim e envie de um endereço de e-mail legítimo @seudominio. Você pode encaminhar o e-mail enviado para esse endereço para o gmail novamente. Você também pode configurar o gmail up para usar smtp para enviar e-mails através do seu servidor.
Espero não ter perdido nada ...
Estou usando essa configuração desde 2010, na verdade, o DMARC chegou mais tarde. Eu uso servidores do Google Apps para enviar e receber e-mails via cliente da web. Meu servidor está apenas enviando e-mails e não recebendo, portanto, não há necessidade de alterações no registro MX do DNS e a porta do servidor 25 não está aberta na Internet.
Suponho que você tenha ultrapassado o guia padrão do Google para anexar seu domínio ao Google Apps. Portanto, você só precisa ajustar o registro SPF / TXT da zona DNS para incluir seu servidor:
<yourdomain>. TXT "v=spf1 ip4:<yourserver-ip> include:_spf.google.com ~all"
Se você configurou o DKIM para a zona DNS de seu domínio com a chave gerada pelo Google, também é bom adicionar qualquer número de suas chaves DKIM personalizadas, veja mais aqui: link . Então, seu outro registro DKIM no domínio deve ser parecido com:
<yoursercer-key-id>._domainkey.<yourdomain>. TXT "v=DKIM1; g=*; k=rsa; <dkim key data here>"
O Google assinará os e-mails enviados com sua chave para que os destinatários os validem em relação ao ID da chave assinada. Os e-mails do seu servidor devem ser enviados e assinados pelo seu DKIM personalizado com o ID da própria chave, e então o servidor / cliente de e-mail do destinatário simplesmente procurará essa ID de chave personalizada para verificar a fonte, não a do Google -
Finalmente eu configurei o DMARC. Recebo relatórios do DMARC na conta "admin @" que, na verdade, está hospedada no mesmo domínio monitorado e no Google Apps. Além disso, uso truque de alias de e-mail do Google "+ dmarc" para filtrar facilmente esses relatórios para rotulá-los.
_dmarc.<yourdomain>. TXT ""v=DMARC1; p=none; rua=mailto:admin+dmarc@<yourdomain>"