单数DKIM记录Vs。多个域的DKIM

Question

我一直在研究大型电子邮件营销平台如何为每个客户的域名管理DKIM。

Mailchimp似乎沿着为所有客户使用相同的私有和公共DKIM密钥的路线前进，而其他电子邮件营销平台(如MailGun、SendGrid等)似乎都为每个客户、每个域独立地生成DKIM。

我主要关心的是安全性，但令人惊讶的是，MailChimp似乎在为所有客户使用相同的公钥和私钥方面做得很好。我对这样做的担心是，如果某个肮脏的黑客以某种方式获得了这个私钥，我所有的客户域都很容易收到代表他们发送的垃圾邮件。

我也在想，不管我是怎么做的，如果黑客可以拿到1键或几个键，那么我将处于相同的位置。

你可以看到我在这里遇到的困境。

哪个(如果有的话)是更安全的选择？为什么它更安全？每种方法的优缺点是什么？

干杯

Answer 1

这是完全正常的。MailChimp作为中介(即使用它们的域，而不是您的域)签名，它不能保证消息中的所有内容，和使用您自己的DKIM签名，它可以。我自己的电子邮件营销服务做的完全一样，我维护的DKIM验证器项目对两者都进行了验证。

有一个每个领域的中介签名没有什么重要的好处，因为作为一个中介，他们不能担保您的域名，只有他们自己。这就是为什么任何以这种方式签名的人都需要某种DNS配置来支持它，无论是通过CNAME还是指定的选择器。

对服务器端密钥的担忧也同样适用于TLS和SSH --如果黑客获得您的任何私钥，您的问题要比您的电子邮件的完整性大得多。