DKIM vs claves de dominio

8

He configurado DKIM (milter-dkim) en mi servidor de correo. El correo electrónico entrante enviado desde mi dominio ahora contiene el siguiente encabezado:

X-DKIM: Sendmail DKIM Filter v2.8.3 MYDOMAIN.com o7FLH1Wa032083
DKIM-Signature: v=1; a=rsa-sha256; c=simple/simple; d=mydomain.com; s=mail;
 t=1281907022; bh=frcCV1k9oG9oKj3dpUqdJg1PxRT2RSN/XKdLCPjaYaY=;
 h=Message-ID:Date:Subject:From:To:MIME-Version:Content-Type:
  Content-Transfer-Encoding;
 b=qetPkilXBdjnuqiKIyvAwsvTvJfAnq5urdgp/i7p/uLJ8DB+svy9A8C6CPmcfELsJ
  hDid5k2AN5JD+wM2INmUIgjeAa/IwpGTbuMloj0Wioh4njqIfbATJqOhuqxTjic

1.) Supongo que eso confirma que tengo la configuración DKIM correcta, ¿verdad?

Pero cuando veo un mensaje que llega de Google, veo:

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
        d=gmail.com; s=gamma;
   ...snip...
DomainKey-Signature: a=rsa-sha1; c=nofws;
        d=gmail.com; s=gamma;
   ...snip...

2.) ¿Cuál es la relación entre DomainKey-Signature y DKIM-Signature?

dkim domainkeys NinjaCat
fuente

Respuestas:

4

DKIM es una versión más nueva del protocolo DomainKeys. Si firma su correo a través de DKIM, no debería necesitar implementar DomainKeys.

Borealid
fuente
Ah OK ... Entonces me pregunto, por qué Google / Facebook, et al. ¿Haz ambos? ¿Es solo una cosa heredada?
NinjaCat
3
Son bastante diferentes y distintos. DKIM generalmente se considera el sucesor de las claves de dominio, pero el uso de DKIM NO significa que no necesita claves de dominio, ya que este último todavía está siendo verificado por muchos sistemas. Mucho mejor implementar ambos si es posible.
John Gardeniers
7

Son dos cosas separadas. DomainKeys es más antiguo, creado por Yahoo !. DKIM es DomainKeys + Identified Internet Mail (otro esquema para verificar correos electrónicos creados por Cisco).

Los encabezados son compatibles, aparentemente, pero algunos sistemas más nuevos no verifican DKIM, por lo que debe generar ambos para que todos estén contentos.

volcado de memoria
fuente
3

Para responder a su primera pregunta, significa que su correo saliente está siendo firmado, pero debe tener los registros DNS correspondientes para que los servidores de correo puedan validarlo.

Cuando todo está configurado, si revisa sus encabezados para ver si hay un mensaje entrante, su servidor de correo debería proporcionar alguna indicación de su éxito. Si tiene una cuenta de Google, mostrará los resultados bajo el encabezado 'Autenticación-Resultados'. Si está configurado correctamente, debería ver lo siguiente:

Authentication-Results: mx.google.com; spf=pass (google.com: domain of
[email protected] designates 1.1.1.1 as permitted sender)
[email protected]; dkim=pass [email protected]

Recuerde configurar también los registros SPF, se verifican más ampliamente que DKIM / DomainKeys.

Pregunta 2, DKIM es la implementación más nueva. Si tiene la capacidad de usar DKIM, úselo sobre DomainKeys.

vmfarms
fuente
Tengo SPF funcionando perfectamente ... Oh, espera ... No veo la parte "Resultados de autenticación:" en los encabezados para DKIM ...
NinjaCat
1
¿Estás revisando los encabezados de una cuenta de Google? "Autenticación-Resultados" es un encabezado personalizado de Google. Otros proveedores pueden o no mostrar los mismos encabezados. Si tiene una cuenta de Google, envíele un mensaje de prueba desde su servidor y haga clic en la pequeña flecha desplegable junto a "Responder" y vaya a "Mostrar original". Debería ver ese encabezado, incluso si solo tiene registros SPF.
vmfarms
Sí, estoy buscando a través de gmail, y no veo nada sobre los resultados de autenticación. Voy a crear una nueva pregunta ahora, ya que estamos saliendo del tema ... b / c esto es más un problema que mi pregunta original.
NinjaCat