我一直在研究大型电子邮件营销平台如何为每个客户的域管理 DKIM。
Mailchimp似乎走上了为所有客户使用相同的私有和公共DKIM密钥的路线,而其他电子邮件营销平台,如MailGun,SendGrid等,似乎都为每个客户,每个域独立生成DKIM。
我主要关心的是安全性,但令人惊讶的是,MailChimp 似乎在为所有客户使用相同的公钥和私钥方面做得很好。我担心这样做是,如果一些肮脏的黑客以某种方式掌握了那一个私钥,我的所有客户域都容易受到代表他们发送垃圾邮件的影响。
不过,我也在想,无论我以哪种方式做到这一点,如果黑客可以拿到 1 个密钥或多个密钥,那么无论哪种方式,我都将处于相同的位置。
你可以看到我在这里遇到的困境。
哪个(如果有的话(更安全?为什么更安全?每种方法的优缺点是什么?
干杯
这是完全正常的。MailChimp 作为中介签名(即使用他们的域,而不是您的域(,它不能保证邮件中的所有内容,并使用您自己的 DKIM 签名,这可以。我自己的电子邮件营销服务完全相同,我维护的DKIM验证器项目验证了它们。
拥有每个域的中间签名没有任何重要好处,因为作为中介,他们无法为您的域担保,只能为自己担保。这就是为什么任何以这种方式签名的人都需要某种 DNS 配置来备份它,无论是通过 CNAME 还是命名选择器。
担心这样的服务器端密钥也以完全相同的方式适用于TLS和SSH——如果黑客获得您的任何私钥,您会遇到比电子邮件完整性更大的问题。