部分DKIM陷阱？

Question

我们最近实现了DKIM的自动电子邮件从我们的网站(SMTP对静态IP)。但是，我们不能为托管的exchange电子邮件帐户实现DKIM (托管托管从一系列IP发送)。

所以在DMARC的报告中，我收到了通过SMTP从我们的网站发送的电子邮件的通行证，但是通过个人交换用户帐户发送的电子邮件失败了。SPF也是实现的，这两者都可以。

据我所能设法在网上找到，这不应损害我们的声誉，但我渴望再次检查，因为我不是100%确定我们的DMARC设置是可以的：

v=DMARC1；p=none；rua=webmaster@mydomain.co.uk；pct=100

实例DMARC结果：

<record>
<row>
  <source_ip>IPADDRESS OMMITTED</source_ip>
  <count>1</count>
  <policy_evaluated>
    <disposition>none</disposition>
    <dkim>fail</dkim>
    <spf>pass</spf>
  </policy_evaluated>
</row>
<identifiers>
  <header_from>mydomain.com</header_from>
</identifiers>
<auth_results>
  <spf>
    <domain>mydomain.com</domain>
    <result>pass</result>
  </spf>
</auth_results>
</record>

如有任何意见，谢谢。

Answer 1

但是，我们不能为托管的exchange电子邮件帐户实现DKIM (托管托管从一系列IP发送)。

你的DMARC记录很好。

对于DKIM，服务器发送的IP地址并不重要。定义哪些IP地址具有从您的域发送的权限是SPF的领域。DKIM是专为解决SPF无法充分描述所有邮件流的问题而设计的。SPF不足的地方有：

1. 您的示例，其中提供程序从一系列IP发送
2. 通过转发器转发的电子邮件
3. 传送电子邮件列表的邮件

因此，DKIM添加了一个加密头对每条消息进行签名。从那里开始，消息(S)从哪个IP地址(Es)到达并不重要。接收方使用的DKIM验证器将在DNS中查找您的DKIM公钥，并使用它来验证它正在评估的签名消息是否真的由您(或您的代理使用您的DKIM密钥)签名。

Exchange没有内置的DKIM支持，但有一个DKIM插件可用。你可以问你的提供者是否支持它。如果是这样的话，您将需要生成一个DKIM密钥，与您的提供者共享私有DKIM密钥，并在您的DNS中发布公钥。我写了一个自动生成密钥的外壳脚本。

如果您的提供者不/不能/不支持DKIM，它们可能允许您通过您控制的另一台服务器中继出站消息。该服务器将接受来自您托管的Exchange的消息，然后DKIM在发送到internet的途中对它们签名。