Configuration des enregistrements SPF et DKIM d'un sous-domaine

Question

J'ai besoin de configurer l'enregistrement SPK et DKIM pour mail.mydomain.com. J'ai défini ce qui suit à namecheap -

Pour SPF -

Record type :TXT Hostname : mail.mydomain.com Value : v=spf1 ip4:x.x.x.x ~all

Pour DKIM -

Record type : TXT Host : mailer._domainkey Value : "v=DKIM1; k=rsa; p=LONGSTRING"

Cela ne fonctionne pas lorsqu'il est vérifié avec des outils de vérification en ligne comme le testeur de messagerie, la mxtoolbox, etc.

[RESOLU]

Contrairement à l'une des réponses ci-dessous, il est également possible de configurer des enregistrements pour les sous-domaines. C'est un problème avec Namecheap (et probablement d'autres fournisseurs également). Vous devez configurer un nom d'hôte comme celui-ci-

SPF hostname : mail DKIM hostname : mailer._domainkey.mail

Namecheap ajoutera automatiquement le domaine.com à la fin. Vous n'avez pas besoin de l'ajouter. La propagation DNS pour les enregistrements DKIM a également pris plus de 15 heures.

Esa Jokinen · Answer

Comme dans la réponse de BillThor, vous avez probablement BESOIN de configurer SPF et DKIM pour le example.com c'est-à-dire le nom d'hôte utilisé dans les adresses e-mail user@example.com, où mail.example.com n'est qu'un MX pour le domaine. Mais, pour répondre à la question exacte ...

Contrairement à ce qui est affirmé dans une autre réponse, , il est possible de configurer SPF et DKIM à tous les niveaux . Après tout, example.com. est un sous-domaine de com. qui est également un sous-domaine de ., sans parler des domaines qui sont déjà des sous-domaines de niveau supérieur, par exemple co.uk.

Les enregistrements SPF sont définis ( RFC 7208, ) pour être placés dans l'arborescence DNS au nom du propriétaire auquel ils appartiennent, pas dans un sous-domaine sous le nom du propriétaire. La première ligne concerne le courrier envoyé depuis user@example.com et le second pour user@mail.example.com.
```
example.com. IN TXT "v=spf1 a mx -all" mail.example.com. IN TXT "v=spf1 a mx -all" 
```
SPF n'est pas hérité, c'est-à-dire qu'il ne protège pas les sous-domaines. De plus, pour chaque sous-domaine avec un enregistrement A qui n'est pas destiné à envoyer des e-mails, vous devez ajouter:
```
sub.example.com. IN TXT "v=spf1 -all" 
```
Les recods DKIM sont définis différemment: l'espace de noms DKIM ( RFC 6376, 3.6.2.1 ) est un sous-domaine:

Toutes les clés DKIM sont stockées dans un sous-domaine nommé _domainkey. Donné un DKIM-Signature champ avec un d= tag de example.com Et un s= tag de foo.bar, la requête DNS sera pour
foo.bar._domainkey.example.com.

Dans le DKIM-Signature en-tête d'e-mail que vous pouvez avoir d=example.com ou d=mail.example.com, avec le i=user@example.com/i=user@mail.example.com. Enregistrements DNS équivalents:
```
selector._domainkey.example.com. IN TXT "v=DKIM1; k=rsa; p=... selector._domainkey.mail.example.com. IN TXT "v=DKIM1; k=rsa; p=... 
```
Une fois que vous avez implémenté (et testé) SPF et DKIM, pensez à protéger l'en-tête From en implémentant une stratégie DMARC ( RFC 7489 ). Une politique DMARC est héritée par tous les sous-domaines " sauf si la politique de sous-domaine est explicitement décrite à l'aide de la balise sp" (section 6. ). Par exemple.
```
_dmarc.example.com. IN TXT "v=DMARC1; p=reject; aspf=s; adkim=s;" 
```

BillThor · Answer

Vous devez configurer DKIM et SPF pour le domaine pour lequel vous envoyez du courrier. Étant donné le sous-domaine mail.example.com. il envoie probablement du trafic pour le example.com domaine et possède des adresses e-mail telles que user@example.com.

Dans ce cas, vous devez configurer les enregistrements DKIM sous example.com plutôt que sous mail.example.com. L'enregistrement SPF pour example.com pourrait être aussi simple que v=spf1 a mx -all.

Il n'y a aucune raison pour que le serveur de messagerie ne puisse pas envoyer de courrier vers un autre domaine tel que example.net et/ou example.org. Pour chaque domaine, configurez DKIM par rapport à ce domaine et un enregistrement SPF pour ce domaine.

Il est utile de définir un enregistrement SPF pour le domaine du serveur de messagerie comme v=spf1 a -all. Cela permet la validation SPF de l'adresse de l'hôte.

Vous devez également envisager de configurer les enregistrements DMARC. Ceux-ci sont définis par rapport au domaine dans l'adresse e-mail d'envoi plutôt qu'au domaine qui envoie l'e-mail.

J'ai posté sur Sécurisation de votre réputation de messagerie avec SPF , Implémentation de DKIM avec Exim et d'autres sujets. Les détails DNS pour DKIM s'appliquent à tous les serveurs de messagerie.

Jose Ortega · Answer

Vous ne pouvez pas utiliser DKIM dans des sous-domaines. vous pouvez le faire sur des "domaines"

Vous n'utilisez pas le "sous-domaine mail.domain.com", vous utilisez le domaine racine: domain.com, vous définissez cela pour le domaine, pas pour un sous-domaine. par exemple:

SPF-TXT hostname @ and value v=spf1 ipv4:x.x.x.x ~all DKIM - TXT Host: s2048._domainkey.domain.com value: v=DKIM1; k=rsa; p=LONG STRING with 2048 char"

N'oubliez pas d'insérer les sauts de ligne dans la clé publique.