DKIM关键轮调最佳实践

Question

您是否认为有必要每1-6个月重新生成DKIM密钥，以避免邮件进入接收服务器的垃圾邮件文件夹？

有些指南建议这样做，有些人甚至说这样做是“最佳实践”，但大多数其他指南根本没有提到这一点。显然是这样做的最佳做法，但是你的真实世界经历是什么呢？

刚刚更新了我的老Debian 7后缀服务器，以包括DKIM + DMARC (+ SPF)，并想知道我是否应该做持续的维护，以重新生成密钥。

大多数人都在做什么？你的真实世界经历是什么？你注意到旧钥匙是你的邮件被发送到垃圾文件夹的原因吗？

我是个低容量的发件人，每天可能有5-10封电子邮件通过我的服务器发送。

Answer 1

需要旋转DKIM键吗？

只有在有必要定期培训所有其他灾难恢复程序的情况下。经常这样做当然很有帮助，但对于大多数(较小的)操作来说，每月轮值会导致过度消耗，并从其他更重要的定期检查和演习中窃取资源。

过去有一种争论是关于人们因式分解(学习密钥而不损害服务器)密钥，但无论如何也不应该使用带有短密钥的旧算法(现在，您可以通过DNS传输>=1024位RSA密钥，最近还可以通过ed25519已被提出为下一个算法。传输，因为RSA看起来越来越慢&体积越来越大)。

，但是如果收件人将我罕见的密钥轮转解释为垃圾邮件信号呢？

如果我要在垃圾邮件过滤中使用DKIM密钥年龄作为参数，我会将负值分配给最近首次看到的键，因为这与垃圾邮件内容有更强的关联。

但是，即使对其他受援者来说不是这样，但就效果大小而言，这可能不是大多数人所关心的信号之一。对于不可靠或维护不善的操作，几乎有无限强的指示符，当您可以查看更简单和更强的指标时，几乎没有必要查看使用的DKIM键的历史。

有关更强指标的详细讨论，请参见关于打击垃圾邮件的典型问题。

你的真实世界经历是什么？

一些接收者保留一个指示符列表(IP、网络、名称、命名模式(！)、dkim密钥)，并通过相关获得声誉数据。如果您避免同时更改DKIM密钥和IP地址，这些收件人可能不太可能给您带来麻烦--只要有重叠，他们就可以自动假定两者都属于同一方。如果他们没有意识到新的密钥是由同一方拥有，你将被视为未知，而在垃圾邮件过滤方面，未知意味着更严格的过滤器。

您注意到旧密钥是邮件被发送到垃圾文件夹的原因吗？

只有在旧密钥不再满足最低要求的情况下(小于1024位的RSA密钥不再被认为对每个人都有用)。这与实际的密钥年龄无关，只是在DNS中可靠地传输这些大密钥之前生成的密钥更有可能发生。