DKIM域选择

Question

我在不同的域上发送具有不同From和Return-Path地址的邮件(用于在分离的邮件服务器上进行反弹收集)。例如，From: my@example.com和Return-Path: bounces@another-domain-for-bounces.org。在DKIM签名d=xxx中应该使用哪个域？

我读过相关的问题，但没有找到具体的答案。

Answer 1

DKIM的标志性弱点之一是它不包含包含返回路径和消息接收者的消息信封。所以您应该使用example.com，它应该是签名域。

Answer 2

Tl;dr:您应该使用标头From:地址的域进行签名。这就是为什么。

我查找了MailChimp、SendGrid等ESP发送的签名电子邮件的标题。结果发现没有经验法则。有些使用From:地址‘域，有些使用Return Path:域。因为这不是一个非常令人满意的观察，我试图找出这是否真正重要的实践。

RFC 4871第5.1节指出：

信息提示:签名模块可酌情纳入邮件系统的任何部分，包括MUA、提交服务器或MTA。无论在何处实现，签名者都应该小心对可能有问题的消息进行签名(从而断言其责任)。特别是，在受信任的飞地中，签名地址可能根据本地策略从标头派生；提交服务器可能只对来自经过正确身份验证和授权的用户的消息签名。

这一案文既没有强制执行，也没有提出具体的战略。说到验证DKIM签名，我知道Amavis和OpenDKIM根本不在乎签名域是否是电子邮件发件人地址的一部分，而GMail也不这样做。签名域应该被视为您邮件的“信任锚”。GMail的web界面将显示用于签名的域，但不警告它是否与发件人地址不同。但它应该。

在我看来，这是规范的一个很大的弱点。垃圾邮件发送者可以使用他可以访问的任何域，以发送看起来来自一个值得信赖的人或组织的签名正确的垃圾邮件。我不知道有任何垃圾邮件使用这种技术，但相信我，会有。DKIM是一种确保消息真实性的方法。这并不是要在一开始就击败垃圾邮件，而是给真诚的发送者一种方法来证明他们的邮件是可信的。当垃圾邮件发送者可以伪造时，DKIM是毫无意义的。当然，真正的优势来自于结合SPF和DKIM (即DMARC)，但这是另一个话题。

请不要使用外国域名签署您的寄出邮件。虽然在技术上是可能的，但这样做是没有意义的。此外，使用信封的Mail From:/the message的Return Path:也是一个不太理想的选项:如果在传输过程中使用SRS (以及其他技术)，信封发送方只需重写即可。这超出了您的控制范围，并最终破坏了签名域与实际消息发送方之间的直接链接，而实际消息发送方应保持不变。

因此，在我看来，最好在可能的情况下使用From:发件人域对发送邮件进行签名。此外，在验证签名的电子邮件时，如果用于签名邮件的域是发件人地址的一部分，则应鼓励ISP尊重。我很想听听别人的意见！

我还找到了一个包含更多参考的有趣的帖子，如果您想进一步研究这个主题的话。