Configuration des enregistrements SPF et DKIM d'un sous-domaine

10

J'ai besoin de configurer l'enregistrement SPK et DKIM pour mail.mydomain.com. J'ai défini ce qui suit à namecheap -

Pour SPF -

Record type :TXT

Hostname : mail.mydomain.com

Value : v=spf1 ip4:x.x.x.x ~all

Pour DKIM -

Record type : TXT

Host : mailer._domainkey

Value : "v=DKIM1; k=rsa; p=LONGSTRING"

Cela ne fonctionne pas lorsqu'il est vérifié avec des outils de vérification en ligne comme le testeur de courrier électronique, la mxtoolbox, etc.

[RESOLU]

Contrairement à l'une des réponses ci-dessous, il est également possible de configurer des enregistrements pour les sous-domaines. C'est un problème avec Namecheap (et probablement d'autres fournisseurs également). Vous devez configurer un nom d'hôte comme celui-ci-

SPF hostname : mail
DKIM hostname : mailer._domainkey.mail

Namecheap ajoutera automatiquement le domaine.com à la fin. Vous n'avez pas besoin de l'ajouter. La propagation DNS pour les enregistrements DKIM a également pris plus de 15 heures.

domain-name-system email email-server domain subdomain Aditya Singh
la source
Sauf si vous signez un e-mail pour les utilisateurs avec as mailer._domainkey.mail, la clé DKIM ne sera pas trouvée. En supposant que vos utilisateurs envoient du courrier avec des adresses identiques [email protected], vous devriez vous inscrire mydomain.com, auquel cas votre enregistrement DKIM ne sera pas trouvé
BillThor
si vous l'avez résolu, vous devriez probablement répondre et accepter votre propre question au lieu de la modifier
istepaniuk

Réponses:

10

Comme dans la réponse de BillThor, vous avez probablement BESOIN de configurer SPF et DKIM pour example.comle nom d'hôte utilisé dans les adresses e-mail [email protected], où il mail.example.comn'y a qu'un MXpour le domaine. Mais, pour répondre à la question exacte ...

Contrairement à ce que prétend une autre réponse, il est possible de configurer à la fois SPF et DKIM à chaque niveau . Après tout, example.com.est un sous-domaine com.qui est également un sous-domaine de ., sans parler des domaines qui sont déjà des sous-domaines de niveau supérieur, par exemple co.uk.

  • Les enregistrements SPF sont définis ( RFC 7208, 3 ) pour être placés dans l'arborescence DNS au nom du propriétaire auquel ils appartiennent, pas dans un sous-domaine sous le nom du propriétaire . La première ligne est pour le courrier envoyé depuis [email protected]et la seconde pour [email protected].

    example.com.       IN   TXT   "v=spf1 a mx -all"
mail.example.com.  IN   TXT   "v=spf1 a mx -all"

    SPF n'est pas hérité, c'est-à-dire qu'il ne protège pas les sous-domaines. De plus, pour chaque sous-domaine avec un Aenregistrement qui n'est pas destiné à envoyer des e-mails, vous devez ajouter:

    sub.example.com.   IN   TXT   "v=spf1 -all"

  • Les recods DKIM sont définis différemment: l'espace de noms DKIM ( RFC 6376, 3.6.2.1 ) est un sous-domaine:

    Toutes les clés DKIM sont stockées dans un sous-domaine nommé _domainkey. Étant donné un DKIM-Signaturechamp avec une d=balise de example.comet une s= balise de foo.bar, la requête DNS sera pour
    foo.bar._domainkey.example.com.

    Dans l'en- DKIM-Signaturetête de l' e-mail, vous pouvez avoir d=example.comou d=mail.example.com, avec le [email protected]/ correspondant [email protected]. Enregistrements DNS équivalents:

    selector._domainkey.example.com.        IN   TXT   "v=DKIM1; k=rsa; p=...
selector._domainkey.mail.example.com.   IN   TXT   "v=DKIM1; k=rsa; p=...

  • Une fois que vous avez implémenté (et testé) SPF et DKIM, pensez à protéger l'en- Fromtête en implémentant une politique DMARC ( RFC 7489 ). Une politique DMARC est héritée par tous les sous-domaines " sauf si la politique de sous-domaine est explicitement décrite à l'aide de la spbalise " (section 6.3 ). Par exemple

    _dmarc.example.com.  IN   TXT   "v=DMARC1; p=reject; aspf=s; adkim=s;"
Esa Jokinen
la source
Résolu. C'était un problème avec Namecheap. Mis à jour la question. Merci
Aditya Singh
1

Vous devez configurer DKIM et SPF pour le domaine pour lequel vous envoyez du courrier. Compte tenu du sous-domaine mail.example.com. il envoie probablement du trafic pour le example.comdomaine et possède des adresses e-mail comme [email protected].

Dans ce cas, vous devez configurer les enregistrements DKIM sous example.complutôt que sous mail.example.com. L'enregistrement SPF pour example.compourrait être aussi simple que v=spf1 a mx -all.

Il n'y a aucune raison pour que le serveur de messagerie ne puisse pas envoyer de courrier vers un domaine différent tel que example.netet / ou example.org. Pour chaque domaine, configurez DKIM par rapport à ce domaine et un enregistrement SPF pour ce domaine.

Il est utile de définir un enregistrement SPF pour le domaine du serveur de messagerie comme v=spf1 a -all. Cela permet la validation SPF de l'adresse hôte.

Vous devez également envisager de configurer les enregistrements DMARC. Ceux-ci sont définis par rapport au domaine dans l'adresse e-mail d'envoi plutôt qu'au domaine qui envoie l'e-mail.

J'ai posté sur la sécurisation de votre réputation de messagerie avec SPF , la mise en œuvre de DKIM avec Exim et d'autres sujets. Les détails DNS pour DKIM s'appliquent à tous les serveurs de messagerie.

BillThor
la source
-1

Vous ne pouvez pas utiliser DKIM dans des sous-domaines. vous pouvez le faire sur des "domaines"

Vous n'utilisez pas le «sous-domaine mail.domain.com», vous utilisez le domaine racine: domain.com, vous définissez cela pour le domaine, pas pour un sous-domaine. par exemple:

SPF-TXT 
hostname @ and value v=spf1 ipv4:x.x.x.x ~all


DKIM - TXT
host: s2048._domainkey.domain.com
value: v=DKIM1; k=rsa; p=LONG STRING with 2048 char"

N'oubliez pas d'insérer les sauts de ligne dans la clé publique.

Jose Ortega
la source