Миграция провайдеров электронной почты; Являются ли несколько записей DKIM жизнеспособными при переходе?
В настоящее время я собираю требования для небольшого (надеюсь) проекта по миграции с SendGrid на Mandrill в качестве поставщика услуг транзакционной электронной почты. Мы используем SendGrid около 3-4 лет и в среднем около 5-10 тысяч электронных писем в день. У нас правильно настроены записи SPF и DKIM, и в результате мы имеем очень низкий показатель отказов / спама и довольно хорошую репутацию отправителя.
Было принято решение перейти на Mandrill, и теперь я должен обеспечить, чтобы миграция проходила гладко, с минимальным количеством прерываний обслуживания, таким образом, начиная процесс утверждения / репутации снова и снова.
Я знаю, что для записей SPF можно добавить несколько элементов, поэтому пока я сохраню и для SendGrid, и для Mandrill. Однако я не уверен на 100% в записях DKIM. Некоторые службы рекомендуют записи CNAME, а другие - записи TXT.
Это заставляет меня задуматься о том, возможно ли иметь запись CNAME DKIM для одной службы и запись TXT DKIM для другой. Мне любопытно о последствиях такого изменения. Зависит ли проверка / проверка этой записи от посредника / получателя? Или они вообще видят оба и просто выбирают первый?
По сути, я хотел бы найти способ медленно переходить от одного сервиса к другому с как можно меньшим количеством прерываний. У нас были проблемы с черным списком интернет-провайдеров, и я бы очень хотел этого избежать.
Большое вам спасибо за ваше время!
3 ответа
Несколько записей DKIM являются жизнеспособным вариантом.
Ключи и записи DKIM следует периодически заменять. Во время процесса обновления старая запись остается на некоторое время, чтобы можно было проверять транзитные сообщения. Это также может позволить повторную проверку полученных сообщений.
Я не вижу никакого смысла в использовании CNAME для записей DKIM. Он только добавит дополнительные DNS-запросы, прежде чем будет прочитана необходимая запись TXT. Записи DKIM должны добавляться каждый раз при смене ключа. Это требует новых записей TXT и может также потребовать новые записи CNAME.
Ответить на ваш вопрос.
CNAME для записи DKIM - это всего лишь метод, позволяющий ESP обрабатывать ротацию ключей, не имея доступа к DNS и не запрашивая изменение записи TXT DNS при каждом повороте ключа.
sector._domainkey.example.com. IN TXT "DKIM KEY"
sector._domainkey.example.org. IN CNAME sector._domainkey.example.com.
Если вы добавляете TXT Record, либо провайдер не поворачивает ключи для вас, либо вы - те, кто вращает ключи.
Вы также можете настроить несколько ключевых селекторов для каждой службы и параллельно запускать sendgrid и mandrill, что также позволяет тестировать mandrill перед переключением на них. Примечание. Ограничений на количество секторов DKIM нет, есть ограничения на количество поисков DNS для SPF (10).
Это одно из основных применений поля селектора. Очень часто интернет-провайдеры имеют записи ключей домена, как показано ниже:
201604._domainkey.mydomain.com
201604 относится к году и месяцу, когда ключ был создан в этом примере (но на самом деле это может быть что угодно) и будет установлен в качестве селектора при подписывании исходящих электронных писем.
При замене ключа или переносе в другое место вы можете просто создать новую запись DKIM (например, 201705._domainkey.mydomain.com). Любые электронные письма, проходящие через старую систему, будут по-прежнему ссылаться на селектор 201604, а электронные письма из новой системы будут ссылаться на новую. Обе записи DKIM, очевидно, могут существовать в DNS без каких-либо проблем, и серверы получателей будут запрашивать ту, которая указана в заголовках письма.
Именно так большинство провайдеров регулярно меняют свои ключи dkim, при этом никакие электронные письма не будут неправильно подписаны или проверены во время обновлений dns/server.