DKIM 密鑰輪換最佳實踐
您是否發現有必要每 1-6 個月重新生成一次 DKIM 密鑰以避免您的郵件進入接收伺服器的垃圾郵件文件夾?
一些指南建議這樣做,有些甚至說這樣做是“最佳實踐”,但大多數其他指南根本沒有提及。顯然這樣做是最佳實踐,但您的真實世界經驗是什麼?
剛剛對我的舊 Debian 7 Postfix 伺服器進行了現代化改造,以包括 DKIM + DMARC (+ SPF),並且想知道我是否應該進行持續維護以重新生成密鑰。
大多數人在做什麼?你的真實世界經歷是什麼?您是否注意到舊密鑰是您的郵件被發送到垃圾文件夾的原因?
我是一個小批量發件人,每天可能有 5-10 封電子郵件通過我的伺服器發送。
是否需要輪換 DKIM 密鑰?
**僅在有必要定期培訓所有其他災難恢復程序的情況下。**定期進行 當然是有幫助的,但是對於大多數(較小的)操作來說,每月輪換將是過度的,並且會從其他更重要的定期檢查和演習中竊取資源。
曾經有一個關於人們分解(學習密鑰而不損害您的伺服器)密鑰的爭論,但無論如何您都不應該使用帶有短密鑰的舊算法(這些天,您可以通過 DNS 傳輸 >=1024 位 RSA 密鑰,並且最近
ed25519
被提議作為下一個算法,因為相比之下 RSA 看起來越來越慢和笨重)。但是,如果收件人將我罕見的密鑰輪換解釋為垃圾郵件信號怎麼辦?
如果我在垃圾郵件過濾中使用 DKIM 密鑰年齡作為參數,我會為最近首次看到的密鑰分配負**分****,**因為這與垃圾郵件內容的相關性更強。
但即使其他接受者不是這種情況,就效應大小而言,它可能不是最關心的信號之一。對於陰暗或維護不善的操作,幾乎有無限強的指標,當您可以查看更簡單和更強大的指標時,甚至不需要查看使用的 DKIM 密鑰的年齡。
有關更強指標的詳細討論,請參閱關於打擊垃圾郵件的規範問題
你的真實世界經歷是什麼?
一些接收者保留一個指標列表(IP、網路、名稱、命名模式(!)、dkim 密鑰)並從關聯它們中獲取信譽數據。如果您**避免同時更改 DKIM 密鑰和 IP 地址,**這些收件人可能不太可能給您帶來麻煩- 只要存在重疊,他們就可以自動假定兩者都歸同一方所有。如果他們沒有意識到新密鑰由同一方擁有,您將被視為未知,而在垃圾郵件過濾方面,未知意味著更嚴格的過濾器。
您是否注意到舊密鑰是您的郵件被發送到垃圾文件夾的原因?
僅在舊密鑰不再滿足最低要求的情況下(小於 1024 位的 RSA 密鑰不再被認為對所有人有用)。然而,這與實際的密鑰年齡無關,只是碰巧更有可能在如此大的密鑰可以在 DNS 中可靠傳輸之前生成的密鑰。