サーバー署名なしでDKIMレコードをセットアップする
ドメインの1つでホスティングプロバイダー101domainとして使用しています。
評判が良くないことは承知していますが、管理するサイトが2つあり、そのうちの1つに複数のccTLDSドメインがあるため、複数の登録者サービスとは別にホスティングサービスを試してみたかったのです。
私はすべてのドメインを移動しましたが、それらはその上で優れたサービスを提供します。とにかく、101domainはDKIMメカニズムを使用していないため、DMARCポリシーが失敗します。
メールサーバーが送信された電子メールに署名していないことを示すDKIMレコードを設定することは可能ですか?
私の記録の例は次のとおりです。
example.com SPF v=spf1 +a +mx ip4:x.x.x.x/16 include:relay.mailchannels.net -all
example.com TXT v=spf1 +a +mx ip4:x.x.x.x/16 include:relay.mailchannels.net -all
_adsp._domainkey.example.com TXT dkim=unknown;
_domainkey.example.com TXT o=~
_dmarc.example.com TXT v=DMARC1; p=reject; rua=mailto:[email protected]; ruf=mailto:[email protected]; fo=1; adkim=r; aspf=s;
PD:101domainは、送信メールゲートウェイにmailchannels.netサービスを使用します。
DKIMに関連するすべてのレコードを削除できます。
DMARCでは、SPFとDKIMの両方を使用する必要はありません。 DMARCを検証する場合、メールがDKIMまたはSPFチェックに合格する必要があるだけで、両方に合格する必要はありません。
もちろん、DKIMを使用することには多くの利点がありますが、DKIMがない場合は、すべてのレコードを削除するだけです。
DMARCが失敗した場合、SPFチェックまたはDMARCチェックでMailfromヘッダーとDisplayFromヘッダーに問題があり、不一致があります。
DMARC.orgには良い記事があります DKIMなしでDMARCを使用することに関して
MadHatterとHenrikStanley Mortensenの助けに感謝しますが、調査とテストを行ったところ、公開鍵を取り消すようにDKIMレコードを設定すると、ポリシーが中立になり、メールを送信しないように見えることがわかりました。署名されていることは、DKIMチェックを通じて有効です。
default._domainkey.example.com TXT k=rsa; p=
DMARCのチェックは、使用するポリシーによって異なります。
_dmarc.example.com TXT v=DMARC1; p=reject; rua=mailto:[email protected]; ruf=mailto:[email protected]; fo=1; adkim=s; aspf=s;
DKIMとSPFの両方を厳密モードに設定した場合、いずれかのチェックが失敗すると、電子メールは拒否されます。
_dmarc.example.com TXT v=DMARC1; p=reject; rua=mailto:[email protected]; ruf=mailto:[email protected]; fo=1; adkim=r; aspf=s;
一方、DKIMリラックスモードとSPF strictモードを設定した場合、DKIMが失敗してSPFが合格するとメールは通過しますが、DKIMが合格してSPFが失敗するとメールは拒否されます。
_dmarc.example.com TXT v=DMARC1; p=reject; rua=mailto:[email protected]; ruf=mailto:[email protected]; fo=1; adkim=r; aspf=r;
さらに、DKIMとSPFの両方をリラックスモードに設定した場合、ポリシーをNONEに設定した場合と同じ結果になります。