DKIM vs clés de domaine

8

J'ai configuré DKIM (milter-dkim) sur mon serveur de messagerie. Les e-mails entrants envoyés depuis mon domaine contiennent désormais l'en-tête suivant:

X-DKIM: Sendmail DKIM Filter v2.8.3 MYDOMAIN.com o7FLH1Wa032083
DKIM-Signature: v=1; a=rsa-sha256; c=simple/simple; d=mydomain.com; s=mail;
 t=1281907022; bh=frcCV1k9oG9oKj3dpUqdJg1PxRT2RSN/XKdLCPjaYaY=;
 h=Message-ID:Date:Subject:From:To:MIME-Version:Content-Type:
  Content-Transfer-Encoding;
 b=qetPkilXBdjnuqiKIyvAwsvTvJfAnq5urdgp/i7p/uLJ8DB+svy9A8C6CPmcfELsJ
  hDid5k2AN5JD+wM2INmUIgjeAa/IwpGTbuMloj0Wioh4njqIfbATJqOhuqxTjic

1.) Je suppose donc que cela confirme que j'ai correctement configuré DKIM, non?

Mais quand je regarde un message provenant de Google, je vois:

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
        d=gmail.com; s=gamma;
   ...snip...
DomainKey-Signature: a=rsa-sha1; c=nofws;
        d=gmail.com; s=gamma;
   ...snip...

2.) Quelle est la relation entre la signature de clé de domaine et la signature de DKIM?

NinjaCat
la source

Réponses:

4

DKIM est une version plus récente du protocole DomainKeys. Si vous signez votre courrier via DKIM, vous ne devriez pas avoir besoin d'implémenter DomainKeys.

Borealid
la source
Ah OK ... Je me demande donc pourquoi Google / Facebook, et al. faire les deux? est-ce juste un héritage?
NinjaCat
3
Ils sont assez différents et distincts. DKIM est généralement considéré comme le successeur des clés de domaine, mais l'utilisation de DKIM ne signifie PAS que vous n'avez pas besoin de clés de domaine, car ces dernières sont toujours vérifiées par de nombreux systèmes. Mieux vaut implémenter les deux si possible.
John Gardeniers
7

Ce sont deux choses distinctes. DomainKeys est plus ancien, créé par Yahoo !. DKIM est DomainKeys + Identified Internet Mail (un autre schéma pour vérifier les e-mails créés par Cisco).

Les en-têtes sont compatibles, apparemment, mais certains systèmes plus récents ne vérifient pas DKIM, vous devez donc générer les deux pour satisfaire tout le monde.

coredump
la source
3

Pour répondre à votre première question, cela signifie que votre courrier sortant est en cours de signature, mais vous devez disposer des enregistrements DNS correspondants pour pouvoir recevoir les serveurs de messagerie afin de le valider.

Quand tout est configuré, si vous vérifiez vos en-têtes pour un message qui est entré, votre serveur de messagerie devrait fournir une indication de son succès. Si vous avez un compte Google, il affichera les résultats sous l'en-tête "Authentication-Results". S'il est correctement configuré, vous devriez voir ce qui suit:

Authentication-Results: mx.google.com; spf=pass (google.com: domain of
[email protected] designates 1.1.1.1 as permitted sender)
[email protected]; dkim=pass [email protected]

N'oubliez pas de configurer également les enregistrements SPF, ils sont plus largement vérifiés que DKIM / DomainKeys.

Question 2, DKIM est la nouvelle implémentation. Si vous avez la possibilité d'utiliser DKIM, utilisez-le sur DomainKeys.

vmfarms
la source
J'ai SPF qui fonctionne parfaitement ... Oh attendez ... Je ne vois pas du tout la partie "Authentication-Results:" dans les en-têtes pour DKIM ...
NinjaCat
1
Vérifiez-vous les en-têtes d'un compte Google? "Authentication-Results" est un en-tête Google personnalisé. D'autres fournisseurs peuvent afficher ou non les mêmes en-têtes. Si vous avez un compte Google, envoyez-lui un message de test de votre serveur et cliquez sur la petite flèche déroulante à côté de "Répondre" et allez dans "Afficher l'original". Vous devriez voir cet en-tête, même si vous n'avez que des enregistrements SPF.
vmfarms du
Ouais, je regarde via gmail, et je ne vois rien sur les résultats de l'authentification. Je vais créer une nouvelle question maintenant, puisque nous sortons du sujet ... b / c c'est plus un problème que ma question d'origine.
NinjaCat du