Configurando registros SPF e DKIM de um subdomínio

10

Preciso configurar o registro SPK e DKIM para mail.mydomain.com. Eu configurei o seguinte em namecheap -

Para SPF -

Record type :TXT

Hostname : mail.mydomain.com

Value : v=spf1 ip4:x.x.x.x ~all

Para DKIM -

Record type : TXT

Host : mailer._domainkey

Value : "v=DKIM1; k=rsa; p=LONGSTRING"

Isso não funciona quando marcado com ferramentas de verificação on-line, como testador de correio, mxtoolbox etc.

[RESOLVIDO]

Ao contrário de uma das respostas abaixo, também é possível configurar registros para subdomínios. É um problema com a Namecheap (e provavelmente com outros fornecedores também). Você precisa configurar o nome do host como este-

SPF hostname : mail
DKIM hostname : mailer._domainkey.mail

A Namecheap adicionará automaticamente o domain.com no final. Você não precisa adicioná-lo. A propagação do DNS para registros DKIM também levou mais de 15 horas.

domain-name-system email email-server domain subdomain Aditya Singh
fonte
A menos que você esteja assinando e-mail para usuários com as mailer._domainkey.mail, a chave DKIM não será encontrada. Supondo que os usuários estão enviando e-mail com endereços llike [email protected], você deve assinar para mydomain.com, caso em que seu registro DKIM não será encontrado
BillThor
Se você resolveu, você provavelmente deve responder e aceitar a sua própria pergunta em vez de editar
istepaniuk

Respostas:

10

Como na resposta do BillThor, você provavelmente PRECISA configurar o SPF e o DKIM para example.como nome do host usado nos endereços de email [email protected], onde mail.example.comé apenas um MXpara o domínio. Mas, para responder à pergunta exata ...

Diferentemente do reivindicado em outra resposta, é possível configurar o SPF e o DKIM em todos os níveis . Afinal, example.com.é um subdomínio com.que também é um subdomínio de ., para não mencionar domínios que já são subdomínios de próximo nível, por exemplo co.uk.

  • Os registros SPF são definidos ( RFC 7208, 3 ) para serem colocados na árvore DNS com o nome do proprietário a que pertencem, não em um subdomínio com o nome do proprietário . A primeira linha é para correio enviado de [email protected]e a segunda para [email protected].

    example.com.       IN   TXT   "v=spf1 a mx -all"
mail.example.com.  IN   TXT   "v=spf1 a mx -all"

    O SPF não é herdado, ou seja, não protege subdomínios. Além disso, para cada subdomínio com um Aregistro que não se destina ao envio de email, você deve adicionar:

    sub.example.com.   IN   TXT   "v=spf1 -all"

  • Os recods DKIM são definidos de maneira diferente: O Namespace DKIM ( RFC 6376, 3.6.2.1 ) é um subdomínio:

    Todas as chaves DKIM são armazenadas em um subdomínio chamado _domainkey. Dado um DKIM-Signaturecampo com uma d=etiqueta de example.come uma s= etiqueta de foo.bar, a consulta DNS será para
    foo.bar._domainkey.example.com.

    No DKIM-Signaturecabeçalho do email, você pode ter d=example.comou d=mail.example.com, com o [email protected]/ [email protected]. Registros DNS equivalentes:

    selector._domainkey.example.com.        IN   TXT   "v=DKIM1; k=rsa; p=...
selector._domainkey.mail.example.com.   IN   TXT   "v=DKIM1; k=rsa; p=...

  • Depois de implementar (e testar) o SPF e o DKIM, considere proteger o Fromcabeçalho implementando uma política DMARC ( RFC 7489 ). Uma política DMARC é herdada por todos os subdomínios ", a menos que a política de subdomínio seja descrita explicitamente usando a sptag " (seção 6.3 ). Por exemplo

    _dmarc.example.com.  IN   TXT   "v=DMARC1; p=reject; aspf=s; adkim=s;"
Esa Jokinen
fonte
Resolvido. Foi um problema com a Namecheap. Atualizado a pergunta. Obrigado
Aditya Singh
1

Você deve configurar o DKIM e o SPF para o domínio para o qual está enviando emails. Dado o subdomínio mail.example.com. provavelmente está enviando tráfego para o example.comdomínio e possui endereços de e-mail como [email protected].

Nesse caso, você precisa configurar os registros DKIM abaixo example.come não abaixo mail.example.com. O registro SPF para example.compoderia ser tão simples quanto v=spf1 a mx -all.

Não há razão para que o servidor de email não possa enviar emails para um domínio diferente como example.nete / ou example.org. Para cada domínio, configure o DKIM em relação a esse domínio e um registro SPF para esse domínio.

É útil definir um registro SPF para o domínio do servidor de correio, como v=spf1 a -all. Isso permite a validação SPF do endereço do host.

Você também deve considerar a configuração de registros DMARC. Eles são definidos em relação ao domínio no endereço de email de envio em vez do domínio que está enviando o email.

Eu publiquei Protegendo sua reputação de e-mail com SPF , Implementando DKIM com Exim e outros assuntos. Os detalhes de DNS para DKIM são aplicáveis ​​a todos os servidores de email.

BillThor
fonte
-1

Você não pode usar DKIM em subdomínios. você pode fazer isso em "domínios"

Você não usa o "subdomínio mail.domain.com", usa o domínio raiz: domain.com, está definindo isso para o domínio, não para um subdomínio. por exemplo:

SPF-TXT 
hostname @ and value v=spf1 ipv4:x.x.x.x ~all


DKIM - TXT
host: s2048._domainkey.domain.com
value: v=DKIM1; k=rsa; p=LONG STRING with 2048 char"

Lembre-se de inserir as quebras de linha na chave pública.

Jose Ortega
fonte