Você acha necessário gerar novamente suas chaves DKIM a cada 1-6 meses para evitar que seus e-mails entrem na pasta de lixo eletrônico dos servidores de recebimento?
Alguns guias recomendam isso, alguns até dizem que é "Melhor prática" fazê-lo, mas a maioria dos outros guias não menciona isso. Evidentemente, é a melhor prática fazer isso , mas qual é a sua experiência no mundo real?
Acabei de modernizar meu antigo servidor Debian 7 Postfix para incluir DKIM + DMARC (+ SPF) e quero saber se devo fazer manutenção contínua para regenerar as chaves.
O que a maioria das pessoas está fazendo? Quais são suas experiências no mundo real? Você notou que as chaves antigas são a causa do seu e-mail ser enviado para a pasta de lixo eletrônico?
Sou um remetente de baixo volume, talvez 5-10 e-mails/dia sejam enviados pelo meu servidor.
É necessário girar as chaves DKIM?
Somente na medida em que for necessário treinar regularmente todos os outros procedimentos de recuperação de desastres . Certamente é útil fazer isso regularmente, mas para a maioria das operações (menores), as rotações mensais seriam um exagero e roubariam recursos de outras verificações e exercícios regulares mais importantes.
Costumava haver uma discussão sobre as pessoas fatorarem (aprender as chaves sem comprometer seu servidor) as chaves, mas você não deveria usar algoritmos antigos com chaves curtas de qualquer maneira (hoje em dia, você pode transportar > = 1024 bits RSA keys sobre DNS e mais recentemente
ed25519foi proposto como o próximo algoritmo , pois o RSA parece cada vez mais lento e volumoso em comparação).Mas e se os destinatários interpretarem minhas raras rotações de chave como um sinal de spam?
Se eu utilizasse a idade da chave DKIM como um parâmetro em minha filtragem de spam, atribuiria uma pontuação negativa às chaves vistas recentemente pela primeira vez , porque isso acontece com uma correlação mais forte com o conteúdo de spam.
Mas mesmo que esse não seja o caso de outros receptores, provavelmente não é um dos sinais com os quais mais se importaria, em termos de tamanho do efeito. Existem indicadores quase infinitamente mais fortes para operações obscuras ou mal mantidas, raramente é necessário olhar para a idade da chave DKIM utilizada quando você pode olhar para indicadores muito mais simples e muito mais fortes.
Para uma discussão detalhada das coisas que são indicadores mais fortes, veja a pergunta canônica sobre o combate ao spam
Quais são suas experiências no mundo real?
Alguns destinatários mantêm uma lista de indicadores (IPs, redes, nomes, padrões de nomenclatura (!), chaves dkim) e derivam dados de reputação correlacionando-os. Esses destinatários podem causar menos problemas para você se você evitar alterar as chaves DKIM e os endereços IP de uma só vez - desde que haja sobreposição, eles podem assumir automaticamente que ambos são de propriedade da mesma parte. Se eles não perceberem que a nova chave é de propriedade da mesma parte, você será tratado como desconhecido e, em termos de filtragem de spam, desconhecido significa filtros mais rígidos.
Você notou que as chaves antigas são a causa do seu e-mail ser enviado para a pasta de lixo eletrônico?
Somente no contexto de chaves antigas que não atendem mais aos requisitos mínimos (chaves RSA menores que 1024 bits não são mais consideradas úteis para todos). No entanto, isso não está relacionado à idade real da chave, mas é mais provável para chaves geradas antes que essas chaves grandes possam ser transportadas de maneira confiável no DNS.