Quais são as implicações de inserir um registro DKIM para um terceiro enviando e-mail em nosso nome?

Navegue suas respostas
1

Nossa organização está configurando uma conta com um serviço de nuvem de terceiros que enviará e-mails em nosso nome. Nosso departamento de marketing gostaria de eliminar os bits "via" ou "em nome de" que alguns clientes exibem para parecer que os e-mails vieram diretamente de nós. Examinando a página de ajuda de terceiros sobre esse assunto, eles solicitam que insira um registro DKIM em nossa zona para o servidor deles. Atualmente implementamos o SPF para nossos servidores de email, mas não o DKIM.

  1. É apenas um registro DKIM TXT suficiente para permitir que o terceiro enviar e-mail em nome de nossa organização (sem atualizar nossa política SPF ou adicionar outros registros referentes ao seu servidor)?
  2. Além do óbvio que estamos permitindo que terceiros enviem e-mails legítimos de nossos domínio, existe algum impacto no resto do nosso sistema (segurança ou caso contrário) da inserção deste registro DKIM?
por glibdud 07.10.2015 / 19:03

2 respostas

2

  1. Se você tiver um registro SPF que impeça os servidores da sua operadora de enviar emails, qualquer destinatário que verificar SPF ou SPF e DKIM provavelmente não aceitará a falha SPF. Eu acho que o provedor de serviços oferece uma diretiva SPF include ou similar para lidar com isso também.

  2. Não, não deveria haver. As chaves DKIM são pesquisadas com base no valor do seletor associado a elas; não há registro DKIM geral para o domínio como um todo, apenas para os seletores específicos especificados no email assinado DKIM. Adicionar um registro DKIM não afeta o email não assinado ou o email assinado com chaves para outros seletores.
    O registro DKIM permite que apenas o portador da chave mostre com um nível razoável de certeza * que o e-mail enviado é aprovado pelo proprietário do domínio.

*) A menos que a zona que contém o registro DKIM seja assinada pelo DNSSEC, não há como validar a autenticidade dos dados do registro. Validar uma assinatura baseada em uma chave que foi buscada sob tais circunstâncias obviamente limitará o que foi realmente provado consideravelmente.

    
por 07.10.2015 / 20:16
0

Todo ESP tem instruções específicas para autenticação de email. Alguns lhe pedirão para configurar um subdomínio para marketing, como em.example.com IN CNAME wl.sendgrid.net, outros uma combinação de incluir: SPF.example.com para seu SPF e um registro de texto dkim.

Siga as instruções específicas, mas não se esqueça de ficar em conformidade. Para o SPF, ele deve ter menos de 10 pesquisas de DNS. Para DKIM, você só pode ter uma chave por seletor.

Poste seu ESP e podemos lhe dar esses detalhes.

por 13.10.2015 / 20:38

Tags

Conecte o Azure Active Directory ao AD do cliente no local como forçar ansible para usar http + kerberos (erro WINRM CONNECTION ERROR: 401 Unauthorized.)