web-dev-qa-db-fra.com

Configuration des enregistrements SPF et DKIM d'un sous-domaine

J'ai besoin de configurer l'enregistrement SPK et DKIM pour mail.mydomain.com. J'ai défini ce qui suit à namecheap -

Pour SPF -

Record type :TXT

Hostname : mail.mydomain.com

Value : v=spf1 ip4:x.x.x.x ~all

Pour DKIM -

Record type : TXT

Host : mailer._domainkey

Value : "v=DKIM1; k=rsa; p=LONGSTRING"

Cela ne fonctionne pas lorsqu'il est vérifié avec des outils de vérification en ligne comme le testeur de messagerie, la mxtoolbox, etc.

[RESOLU]

Contrairement à l'une des réponses ci-dessous, il est également possible de configurer des enregistrements pour les sous-domaines. C'est un problème avec Namecheap (et probablement d'autres fournisseurs également). Vous devez configurer un nom d'hôte comme celui-ci-

SPF hostname : mail
DKIM hostname : mailer._domainkey.mail

Namecheap ajoutera automatiquement le domaine.com à la fin. Vous n'avez pas besoin de l'ajouter. La propagation DNS pour les enregistrements DKIM a également pris plus de 15 heures.

10
Aditya Singh

Comme dans la réponse de BillThor, vous avez probablement BESOIN de configurer SPF et DKIM pour le example.com c'est-à-dire le nom d'hôte utilisé dans les adresses e-mail [email protected], où mail.example.com n'est qu'un MX pour le domaine. Mais, pour répondre à la question exacte ...

Contrairement à ce qui est affirmé dans une autre réponse, , il est possible de configurer SPF et DKIM à tous les niveaux . Après tout, example.com. est un sous-domaine de com. qui est également un sous-domaine de ., sans parler des domaines qui sont déjà des sous-domaines de niveau supérieur, par exemple co.uk.

  • Les enregistrements SPF sont définis ( RFC 7208, ) pour être placés dans l'arborescence DNS au nom du propriétaire auquel ils appartiennent, pas dans un sous-domaine sous le nom du propriétaire. La première ligne concerne le courrier envoyé depuis [email protected] et le second pour [email protected].

    example.com.       IN   TXT   "v=spf1 a mx -all"
    mail.example.com.  IN   TXT   "v=spf1 a mx -all"
    

    SPF n'est pas hérité, c'est-à-dire qu'il ne protège pas les sous-domaines. De plus, pour chaque sous-domaine avec un enregistrement A qui n'est pas destiné à envoyer des e-mails, vous devez ajouter:

    sub.example.com.   IN   TXT   "v=spf1 -all"
    
  • Les recods DKIM sont définis différemment: l'espace de noms DKIM ( RFC 6376, 3.6.2.1 ) est un sous-domaine:

    Toutes les clés DKIM sont stockées dans un sous-domaine nommé _domainkey. Donné un DKIM-Signature champ avec un d= tag de example.com Et un s= tag de foo.bar, la requête DNS sera pour
    foo.bar._domainkey.example.com.

    Dans le DKIM-Signature en-tête d'e-mail que vous pouvez avoir d=example.com ou d=mail.example.com, avec le [email protected]/[email protected]. Enregistrements DNS équivalents:

    selector._domainkey.example.com.        IN   TXT   "v=DKIM1; k=rsa; p=...
    selector._domainkey.mail.example.com.   IN   TXT   "v=DKIM1; k=rsa; p=...
    
  • Une fois que vous avez implémenté (et testé) SPF et DKIM, pensez à protéger l'en-tête From en implémentant une stratégie DMARC ( RFC 7489 ). Une politique DMARC est héritée par tous les sous-domaines " sauf si la politique de sous-domaine est explicitement décrite à l'aide de la balise sp" (section 6. ). Par exemple.

    _dmarc.example.com.  IN   TXT   "v=DMARC1; p=reject; aspf=s; adkim=s;"
    
10
Esa Jokinen

Vous devez configurer DKIM et SPF pour le domaine pour lequel vous envoyez du courrier. Étant donné le sous-domaine mail.example.com. il envoie probablement du trafic pour le example.com domaine et possède des adresses e-mail telles que [email protected].

Dans ce cas, vous devez configurer les enregistrements DKIM sous example.com plutôt que sous mail.example.com. L'enregistrement SPF pour example.com pourrait être aussi simple que v=spf1 a mx -all.

Il n'y a aucune raison pour que le serveur de messagerie ne puisse pas envoyer de courrier vers un autre domaine tel que example.net et/ou example.org. Pour chaque domaine, configurez DKIM par rapport à ce domaine et un enregistrement SPF pour ce domaine.

Il est utile de définir un enregistrement SPF pour le domaine du serveur de messagerie comme v=spf1 a -all. Cela permet la validation SPF de l'adresse de l'hôte.

Vous devez également envisager de configurer les enregistrements DMARC. Ceux-ci sont définis par rapport au domaine dans l'adresse e-mail d'envoi plutôt qu'au domaine qui envoie l'e-mail.

J'ai posté sur Sécurisation de votre réputation de messagerie avec SPF , Implémentation de DKIM avec Exim et d'autres sujets. Les détails DNS pour DKIM s'appliquent à tous les serveurs de messagerie.

1
BillThor

Vous ne pouvez pas utiliser DKIM dans des sous-domaines. vous pouvez le faire sur des "domaines"

Vous n'utilisez pas le "sous-domaine mail.domain.com", vous utilisez le domaine racine: domain.com, vous définissez cela pour le domaine, pas pour un sous-domaine. par exemple:

SPF-TXT 
hostname @ and value v=spf1 ipv4:x.x.x.x ~all


DKIM - TXT
Host: s2048._domainkey.domain.com
value: v=DKIM1; k=rsa; p=LONG STRING with 2048 char" 

N'oubliez pas d'insérer les sauts de ligne dans la clé publique.

0
Jose Ortega