我一直在研究大型电子邮件营销平台为每个客户的域管理 DKIM 的方式。
Mailchimp 似乎在为所有客户使用相同的私有和公共 DKIM 密钥,而 MailGun、SendGrid 等其他电子邮件营销平台似乎都为每个客户、每个域独立生成 DKIM。
我主要关心的是安全性,但令人惊讶的是,MailChimp 似乎在为所有客户使用相同的公钥和私钥方面做得很好。我对这样做的担心是,如果某个肮脏的黑客以某种方式获得了那个私钥,我的所有客户域都容易受到代表他们发送垃圾邮件的攻击。
不过,我也在想,无论我采用哪种方式,如果黑客可以拿到一把钥匙或几把钥匙,那么无论哪种方式,我都会处于相同的位置。
你可以看到我在这里遇到的困境。
哪个(如果有)是更安全的选择?为什么更安全?各有什么优缺点?
干杯
【问题讨论】:
标签: email security authentication spf dkim
这是完全正常的。 MailChimp 作为中介(即使用他们的域,而不是您的域)进行签名,不能保证消息中的所有内容,并且使用您自己的 DKIM 签名,可以。 My own email marketing service 的作用完全相同,the DKIM validator project I maintain 验证它们两者。
拥有每个域的中介签名并没有什么意义,因为作为中介,他们无法为您的域担保,只能为他们自己的域担保。这就是为什么任何以这种方式签名的人都需要某种 DNS 配置来备份它,无论是通过 CNAME 还是命名选择器。
担心这样的服务器端密钥也同样适用于 TLS 和 SSH - 如果黑客获得了您的 任何 私钥,那么您面临的问题远不止电子邮件的完整性.
【讨论】:
d=mailchimpapp.net 签约。如果您使用他们要求您使用的选择器使用他们的公钥配置您的域,他们也可以使用您的域进行签名 - 因为 他们的 公钥由 您的 DNS 提供,允许他们用他们的私钥签名。 Our own docs on this might make it clearer.