Czy mogę mieć wiele rekordów DKIM w mojej domenie?

Home Czy mogę mieć wiele rekordów DKIM w mojej domenie?

Czy mogę mieć wiele rekordów DKIM w mojej domenie?

20th Feb 2024 DKIM Multiple DKIM Records

Czy możesz mieć wiele rekordów DKIM w jednej domenie? Odpowiedź brzmi: tak, możesz mieć tyle rekordów DKIM w swojej domenie, na ile zezwala Twój dostawca DNS.

Co to jest DKIM?

DKIM to skrót od DomainKeys Identified Mail. Jest to metoda uwierzytelniania poczty e-mail przeznaczona do wykrywania sfałszowanych pól nagłówka i treści w wiadomościach e-mail. DKIM umożliwia serwerowi odbierającemu pocztę e-mail sprawdzenie, czy nagłówki i treść wiadomości e-mail nie zostały naruszone podczas przesyłania.

DKIM opiera się na kryptografii asymetrycznej, która wykorzystuje pary kluczy: klucze prywatne znane tylko serwerowi wysyłającemu oraz klucze publiczne, które są publikowane w DNS i dostępne dla serwera odbierającego.

Przed opuszczeniem serwera poczty wychodzącej wiadomość e-mail jest podpisana za pomocą klucza prywatnego przechowywanego na serwerze; po przybyciu na serwer odbiorczy wiadomość e-mail jest sprawdzana przez serwer z kluczem publicznym opublikowanym w DNS.

Co to jest rekord DKIM?

Rekord DKIM to rekord TXT opublikowany w DNS. Składa się z listy tagów, z których jednym jest tag „p=”, zawierający publiczny klucz DKIM.

Oto przykładowy rekord DKIM:

k=rsa; t=s; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCnVgd0NyrRE261IIiPqi+0H1baNyKcdj8Kea/VlSP4exzvKx8pJ01EWMwd094FV/6OCBIf7KGKgowMnWl3tW3Z5G++uZHkdgF+6xg7b9PynmX/NTo2kx92hlGgegwyulF5B7d2FM0doaCeoO4rD05jZzwi3cXx/156Gg9Xwd/Z/QIDAQAB

Powyższy rekord DKIM składa się z listy tagów definiujących parametry rekordu. Znacznik p w rekordzie określa klucz publiczny zakodowany w base64, który jest używany przez serwer odbierający do weryfikacji podpisu DKIM.

Rekord DKIM może być również rekordem CNAME, który w takim przypadku mapuje rekord CNAME na rekord DKIM typu TXT.

Na przykład, jeśli skonfigurujesz DKIM w SendGrid, utworzy on rekord DKIM typu CNAME, który wygląda tak:

s1.domainkey.uXXX.wlXXX.sendgrid.net

Ten rekord jest mapowany na rekord DKIM typu TXT:

k=rsa; t=s; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCnVgd0NyrRE261IIiPqi+0H1baNyKcdj8Kea/VlSP4exzvKx8pJ01EWMwd094FV/6OCBIf7KGKgowMnWl3tW3Z5G++uZHkdgF+6xg7b9PynmX/NTo2kx92hlGgegwyulF5B7d2FM0doaCeoO4rD05jZzwi3cXx/156Gg9Xwd/Z/QIDAQAB

Wszystkie rekordy DKIM w domenie example.com istnieją w xxx._domainkey.example.com, gdzie xxx to selektor DKIM, niezależnie od typu rekordu.

Co to jest selektor DKIM?

Selektor DKIM to ciąg znaków używany do określenia lokalizacji klucza publicznego DKIM w domenie. Głównym celem selektorów DKIM jest umożliwienie wielu par kluczy DKIM w nazwie domeny tej samej organizacji.

Możesz na przykład wybrać selektor „maj10” i utworzyć klucz publiczny DKIM w tym selektorze w domenie example.com: may10._domainkey.example.com.

Możesz też wybrać inny selektor „july29” i utworzyć klucz publiczny DKIM w tym selektorze w domenie example.com: july29._domainkey.example.com.

Aby dowiedzieć się więcej o selektorach DKIM, przeczytaj: What is a DKIM selector.

Czy mogę mieć wiele rekordów DKIM w jednej domenie?

Jak wspomniano w poprzedniej sekcji, tworzenie wielu rekordów DKIM w jednej domenie jest możliwe dzięki utworzeniu wielu selektorów DKIM w tej domenie, przy czym każdy selektor wskazuje rekord DKIM.

Możliwość posiadania wielu rekordów DKIM w jednej domenie ma kluczowe znaczenie w następujących scenariuszach:

organizacja korzysta z wielu usług dostarczania poczty e-mail do wysyłania e-maili w imieniu jednej domeny. W takim przypadku do oddzielenia tych usług należy użyć wielu selektorów DKIM i par kluczy prywatnych/publicznych.

Na przykład, jeśli autoryzujesz zarówno SendGrid, jak i Mailgun do wysyłania e-maili w imieniu Twojej domeny, musisz mieć co najmniej jeden rekord DKIM dla SendGrid i jeden dla Mailgun. W ten sposób serwery podpisywania/weryfikacji dwóch usług mogą prawidłowo zlokalizować odpowiednie pary kluczy.
jeśli korzystasz tylko z jednej usługi dostarczania poczty e-mail, posiadanie wielu selektorów/par kluczy jest niezbędne dla mechanizmu bezpieczeństwa DKIM o nazwie „DKIM key rotation”. Jest to w zasadzie proces, w którym pary kluczy są okresowo aktualizowane, aby zmniejszyć ryzyko naruszenia bezpieczeństwa par kluczy.

Dowiedz się więcej o tym procesie w artykule What is a DKIM selector.

W przeciwieństwie do SPF i DMARC posiadanie wielu rekordów DKIM w jednej domenie jest nie tylko możliwe, ale często konieczne.

Powiązane posty:

Previous Post Next Post