J'ai besoin de configurer l'enregistrement SPK et DKIM pour mail.mydomain.com. J'ai défini ce qui suit à namecheap -
Pour SPF -
Record type :TXT
Hostname : mail.mydomain.com
Value : v=spf1 ip4:x.x.x.x ~all
Pour DKIM -
Record type : TXT
Host : mailer._domainkey
Value : "v=DKIM1; k=rsa; p=LONGSTRING"
Cela ne fonctionne pas lorsqu'il est vérifié avec des outils de vérification en ligne comme le testeur de messagerie, la mxtoolbox, etc.
[RESOLU]
Contrairement à l'une des réponses ci-dessous, il est également possible de configurer des enregistrements pour les sous-domaines. C'est un problème avec Namecheap (et probablement d'autres fournisseurs également). Vous devez configurer un nom d'hôte comme celui-ci-
SPF hostname : mail
DKIM hostname : mailer._domainkey.mail
Namecheap ajoutera automatiquement le domaine.com à la fin. Vous n'avez pas besoin de l'ajouter. La propagation DNS pour les enregistrements DKIM a également pris plus de 15 heures.
Comme dans la réponse de BillThor, vous avez probablement BESOIN de configurer SPF et DKIM pour le example.com
c'est-à-dire le nom d'hôte utilisé dans les adresses e-mail [email protected]
, où mail.example.com
n'est qu'un MX
pour le domaine. Mais, pour répondre à la question exacte ...
Contrairement à ce qui est affirmé dans une autre réponse, , il est possible de configurer SPF et DKIM à tous les niveaux . Après tout, example.com.
est un sous-domaine de com.
qui est également un sous-domaine de .
, sans parler des domaines qui sont déjà des sous-domaines de niveau supérieur, par exemple co.uk
.
Les enregistrements SPF sont définis ( RFC 7208, ) pour être placés dans l'arborescence DNS au nom du propriétaire auquel ils appartiennent, pas dans un sous-domaine sous le nom du propriétaire. La première ligne concerne le courrier envoyé depuis [email protected]
et le second pour [email protected]
.
example.com. IN TXT "v=spf1 a mx -all"
mail.example.com. IN TXT "v=spf1 a mx -all"
SPF n'est pas hérité, c'est-à-dire qu'il ne protège pas les sous-domaines. De plus, pour chaque sous-domaine avec un enregistrement A
qui n'est pas destiné à envoyer des e-mails, vous devez ajouter:
sub.example.com. IN TXT "v=spf1 -all"
Les recods DKIM sont définis différemment: l'espace de noms DKIM ( RFC 6376, 3.6.2.1 ) est un sous-domaine:
Toutes les clés DKIM sont stockées dans un sous-domaine nommé
_domainkey
. Donné unDKIM-Signature
champ avec und=
tag deexample.com
Et uns=
tag defoo.bar
, la requête DNS sera pourfoo.bar._domainkey.example.com
.
Dans le DKIM-Signature
en-tête d'e-mail que vous pouvez avoir d=example.com
ou d=mail.example.com
, avec le [email protected]
/[email protected]
. Enregistrements DNS équivalents:
selector._domainkey.example.com. IN TXT "v=DKIM1; k=rsa; p=...
selector._domainkey.mail.example.com. IN TXT "v=DKIM1; k=rsa; p=...
Une fois que vous avez implémenté (et testé) SPF et DKIM, pensez à protéger l'en-tête From
en implémentant une stratégie DMARC ( RFC 7489 ). Une politique DMARC est héritée par tous les sous-domaines " sauf si la politique de sous-domaine est explicitement décrite à l'aide de la balise sp
" (section 6. ). Par exemple.
_dmarc.example.com. IN TXT "v=DMARC1; p=reject; aspf=s; adkim=s;"
Vous devez configurer DKIM et SPF pour le domaine pour lequel vous envoyez du courrier. Étant donné le sous-domaine mail.example.com
. il envoie probablement du trafic pour le example.com
domaine et possède des adresses e-mail telles que [email protected]
.
Dans ce cas, vous devez configurer les enregistrements DKIM sous example.com
plutôt que sous mail.example.com
. L'enregistrement SPF pour example.com
pourrait être aussi simple que v=spf1 a mx -all
.
Il n'y a aucune raison pour que le serveur de messagerie ne puisse pas envoyer de courrier vers un autre domaine tel que example.net
et/ou example.org
. Pour chaque domaine, configurez DKIM par rapport à ce domaine et un enregistrement SPF pour ce domaine.
Il est utile de définir un enregistrement SPF pour le domaine du serveur de messagerie comme v=spf1 a -all
. Cela permet la validation SPF de l'adresse de l'hôte.
Vous devez également envisager de configurer les enregistrements DMARC. Ceux-ci sont définis par rapport au domaine dans l'adresse e-mail d'envoi plutôt qu'au domaine qui envoie l'e-mail.
J'ai posté sur Sécurisation de votre réputation de messagerie avec SPF , Implémentation de DKIM avec Exim et d'autres sujets. Les détails DNS pour DKIM s'appliquent à tous les serveurs de messagerie.
Vous ne pouvez pas utiliser DKIM dans des sous-domaines. vous pouvez le faire sur des "domaines"
Vous n'utilisez pas le "sous-domaine mail.domain.com", vous utilisez le domaine racine: domain.com, vous définissez cela pour le domaine, pas pour un sous-domaine. par exemple:
SPF-TXT
hostname @ and value v=spf1 ipv4:x.x.x.x ~all
DKIM - TXT
Host: s2048._domainkey.domain.com
value: v=DKIM1; k=rsa; p=LONG STRING with 2048 char"
N'oubliez pas d'insérer les sauts de ligne dans la clé publique.