DKIM: Tôi có thể thêm bản ghi chính sách DomainKey một cách an toàn mà không vi phạm email hiện có không?

Tôi cần thiết lập DKIM để xác thực nhà cung cấp dịch vụ email mà chúng tôi đang sử dụng. Trong tài liệu của nhà cung cấp, họ yêu cầu chúng tôi thêm hai bản ghi, bản ghi bộ chọn và bản ghi chính sách, như sau:

selector._domainkey.mydomain.com TXT "k=rsa; p=mykeyhere"
_domainkey.mydomain.com TXT "t=y; o=~"

Tôi lo lắng về việc thêm chính sách mới này vì chúng tôi đã thiết lập khá nhiều bộ chọn DKIM trong vùng DNS của mình, không có bản ghi chính sách hiện có (chúng tôi sử dụng nhiều nhà cung cấp bên thứ ba cần gửi email thay mặt chúng tôi). Tôi muốn đảm bảo rằng tôi không phá vỡ chức năng hiện có bằng cách tạo bản ghi này. Từ những gì tôi đã đọc, bạn chỉ có thể có một chính sách duy nhất cho mỗi vùng, vì vậy có thể nói, chính sách đó được "chia sẻ".

Tôi đã nghiên cứu vấn đề này một chút và chính sách mà nhà cung cấp đang yêu cầu, t=y; o=~, nên khá vô hại. Có vẻ như nói rằng một số email có thể được ký và xử lý các email đã xác minh/chưa được xác minh theo cùng một cách (thẩm quyền giải quyết).

Tuy nhiên, điều này sẽ ảnh hưởng đến ứng dụng sản xuất của chúng tôi và tôi hy vọng có được sự tin tưởng rằng điều này là an toàn để thêm vào. Tôi có đúng không khi cho rằng tôi có thể thêm bản ghi này mà không khiến một loạt email gửi đi của chúng tôi bị đánh dấu là thư rác? Hay tôi đang thiếu một cái gì đó?

DKIM là một công cụ chữ ký. nó là một công cụ xác minh bài đăng theo nghĩa là bạn không thể đoán khóa bộ chọn trước khi nhận được tin nhắn. Có một quy ước đặt tên cho bộ chọn của bạn là "selector1" nhưng đó chỉ là một cái tên dễ hiểu, vì không có biểu mẫu bắt buộc nào cho tên của bộ chọn của bạn. Vì vậy, bạn có thể xuất bản bao nhiêu Bộ chọn DKIM trong bản ghi DNS của mình, chỉ những bộ chọn được sử dụng trong tin nhắn đã gửi mới được kiểm tra (cuối cùng) sau khi nhận được những tin nhắn này. Và hy vọng chúng sẽ được xác minh thành công nếu ấn phẩm DNS của bạn tương quan với các khóa này. Tuy nhiên, việc xuất bản các khóa chọn DKIM không bắt buộc bạn phải sử dụng chúng.

Trường hợp duy nhất mà DKIM dẫn đến lỗi gửi là kết hợp với DMARC, chỉ khi DMARC yêu cầu phải có Chữ ký DKIM phù hợp với miền của bạn và bạn không thể chèn chữ ký đó vào tin nhắn đã gửi của mình. Hoặc bạn đã chèn một tin nhắn vào tin nhắn của mình nhưng bạn quên xuất bản nó trong DNS của mình.

Vì DMARC của bạn không yêu cầu căn chỉnh (chính sách=không) nên DKIM sẽ hoàn toàn không ảnh hưởng đến việc phân phối doanh nghiệp của bạn.

BTW nhiều thư có nhiều chữ ký DKIM trong đó mà không gặp sự cố gửi.

BTW(2) bạn nên nghĩ đến việc thêm chữ ký DKIM vào máy chủ email cũ của mình để bạn có thể sử dụng DMARC nhằm bảo vệ doanh nghiệp của mình khỏi lừa đảo hoặc cáo buộc sai khi nhấp vào liên kết đáng ngờ, nhưng đó là một vấn đề khác đề tài.