您是否发现有必要每 1-6 个月重新生成一次 DKIM 密钥以避免您的邮件进入接收服务器的垃圾邮件文件夹?
一些指南建议这样做,有些甚至说这样做是“最佳实践”,但大多数其他指南根本没有提及。显然这样做是最佳实践,但您的真实世界经验是什么?
刚刚对我的旧 Debian 7 Postfix 服务器进行了现代化改造,以包括 DKIM + DMARC (+ SPF),并且想知道我是否应该进行持续维护以重新生成密钥。
大多数人在做什么?你的真实世界经历是什么?您是否注意到旧密钥是您的邮件被发送到垃圾文件夹的原因?
我是一个小批量发件人,每天可能有 5-10 封电子邮件通过我的服务器发送。
是否需要轮换 DKIM 密钥?
仅在有必要定期培训所有其他灾难恢复程序的情况下。定期进行 当然是有帮助的,但是对于大多数(较小的)操作来说,每月轮换将是过度的,并且会从其他更重要的定期检查和演习中窃取资源。
曾经有一个关于人们分解(学习密钥而不损害您的服务器)密钥的争论,但无论如何您都不应该使用带有短密钥的旧算法(这些天,您可以通过 DNS 传输 >=1024 位 RSA 密钥,并且最近
ed25519被提议作为下一个算法,因为相比之下 RSA 看起来越来越慢和笨重)。但是,如果收件人将我罕见的密钥轮换解释为垃圾邮件信号怎么办?
如果我在垃圾邮件过滤中使用 DKIM 密钥年龄作为参数,我会为最近首次看到的密钥分配负分,因为这与垃圾邮件内容的相关性更强。
但即使其他接受者不是这种情况,就效应大小而言,它可能不是最关心的信号之一。对于阴暗或维护不善的操作,几乎有无限强的指标,当您可以查看更简单和更强大的指标时,甚至不需要查看使用的 DKIM 密钥的年龄。
有关更强指标的详细讨论,请参阅关于打击垃圾邮件的规范问题
你的真实世界经历是什么?
一些接收者保留一个指标列表(IP、网络、名称、命名模式(!)、dkim 密钥)并从关联它们中获取信誉数据。如果您避免同时更改 DKIM 密钥和 IP 地址,这些收件人可能不太可能给您带来麻烦- 只要存在重叠,他们就可以自动假定两者都归同一方所有。如果他们没有意识到新密钥由同一方拥有,您将被视为未知,而在垃圾邮件过滤方面,未知意味着更严格的过滤器。
您是否注意到旧密钥是您的邮件被发送到垃圾文件夹的原因?
仅在旧密钥不再满足最低要求的情况下(小于 1024 位的 RSA 密钥不再被认为对所有人有用)。然而,这与实际的密钥年龄无关,只是碰巧更有可能在如此大的密钥可以在 DNS 中可靠传输之前生成的密钥。