岗位

DMARC子域名委托可以帮助域名所有者以符合DMARC的方式将子域名或顶级域名委托给第三方。这可以帮助所有者的域名反映在发件人的Mail From: 地址中。

当你把子域委托给第三方DNS提供商时,被委托的组织将负责与这些子域有关的所有DNS请求。被委托的组织也可以访问子域的MX记录和TXT记录,尽管他们可能看不到这些设置,除非他们被特别配置为这样做。

什么是DNS区域委托?

DNS委托是指一个DNS服务器授权另一个DNS服务器代表该服务器执行权威性行动的过程。这允许更有效地使用资源,特别是当涉及到大规模部署时。

例如,如果你的公司在许多不同的网站上有数百个服务器,你可能想把这些服务器的权力下放,以便只有一个服务器负责一个区域的所有记录。这意味着,如果一个站点发生故障,其他站点仍然能够解决他们的名称服务器,并顺利访问他们的数据。

为什么分区授权很重要或有益?

DNS区域委托是你的DNS基础设施的一个重要部分。

DNS区,或称域,是一个或多个DNS服务器的集合,这些服务器对一个特定的域具有权威性。当你有一个单一的DNS服务器时,它被称为主DNS服务器。如果你有多个DNS服务器,它们都被称为二级服务器。

区域授权允许你指定一个或多个名称服务器作为该区域的辅助服务器。微软在他们的文件中正确地指出了区域授权的主要目标是 区委托文件中正确指出的,区委托的主要目标中指出的,区域委托的主要目标是在你的DNS环境中创建冗余,并允许你添加新的名称服务器或改变它们的配置而不干扰你的网络其他部分。

什么是子域委托?

子域名授权是将你的域名控制权委托给另一个人或实体的好方法。它也被称为子域名转让、子域名管理和子域名代理,它可以用于许多不同的目的。

子域名授权对你意味着什么?

当你委托你的域名时,你本质上是给别人权限代表你管理你的域名。这意味着,收到你的域名的人将能够对它做任何他们想做的事情--无论是添加额外的域名或改变DNS设置,甚至直接删除整个事情。这由他们自己决定

子域名授权是如何工作的?

子域就像普通的域名一样:它们有名字和一个IP地址。域名和子域名之间的区别是,子域名是在其他一些域名下(如 "example.com")。为了有效地使用它们,你需要三样东西:一个与原始域名相匹配的主机名,一个与原始域名创建时分配的IP地址(可能与当前的IP地址相同,也可能不相同),以及由控制它的人给予的访问权限。 

DMARC子域委托是否让你的生活更轻松?

有几个原因可以说明为什么你可能想把你的子域委托给第三方供应商。以下是其中的几个原因。 

  • 你希望你的域名的身份和名称能够反映在你的第三方通过他们的名字服务器发出的电子邮件上。
  • 你的电子邮件将符合DMARC标准,因为它们看起来是来自你的域名,而且由于你将完全控制子域,你可以随意进行DNS更改。
  • 所有来自你委托的子域的名称服务器的电子邮件都将通过 SPF授权,因此DMARC
  • 这将确保顺利和不间断地发送电子邮件 

如何将一个子域委托给第三方供应商?

注释: 对于子域委托,你将需要在你目前的DNS提供商那里注册一个子域,以及第三方的名称服务器信息。

  • 登录到你的DNS注册商的控制面板上 
  • 在你的DNS区域文件中,创建一个新的NS(名称服务器)记录 
  • 在 "名称 "字段中输入你的子域名称,在 "值 "字段中输入你的名称服务器信息,后面加一个点(.),以及1800或3600的TTL。 
  • 保存对你的记录的更改,并等待你的DNS更新更改。

你可以按照同样的程序,将子域委托给你的第三方供应商的所有名称服务器。 

最后,为了完成你的子域授权过程,你需要将你的子域添加到你的第三方供应商的DNS区域文件中,这样你就完成了 

DMARC合规性和你的第三方 

使你的第三方符合DMARC协议是一个很好的方法,以确保你没有得到错误的否定。更多的时候,由于DMARC协议的第三方源头配置错误,合法的电子邮件在接收者那边无法交付,而被标记为垃圾邮件。 

我们已经在博客中介绍了一整个关于 如何使你的第三方供应商符合DMARC标准.

欲了解更多信息。 联系我们今天就与我们联系,预约DMARC专家的免费咨询!

DKIM密钥旋转是更新你的DKIM密钥的过程。你应该定期轮换你的密钥--确切的周期并不重要,重要的是这个过程本身。你为什么要这样做?轮换密钥是指创建新的密钥并使用这些新的密钥更新DNS记录。轮换你的DKIM密钥的目的类似于你为什么要定期更换你的密码:这是一项安全措施,有助于防止攻击者冒充你的域名,发送垃圾邮件或钓鱼邮件。

让我们来看看为什么你首先要使用DKIM密钥。

为什么要使用DKIM密钥?

DKIMDKIM是DomainKeys Identified Mail的缩写。它是一种为你的电子邮件服务器添加额外安全层的方法,这样你的电子邮件就不会被标记为垃圾邮件并最终进入垃圾邮件文件夹。思考DKIM的最佳方式是将一个加密的标识符附在你的邮件上,这样收件人就可以验证该邮件确实是由你发出的,也就是它声称来自的那个人。这个标识符,或钥匙,是让他们验证的东西。

DKIM是如何工作的?

DKIM的工作原理是在每封正在发送的电子邮件中添加这个标识符。当有人收到这些邮件时,他们可以检查邮件的页眉或页脚,发现一串数字和字母,这就是加密的标识符或DKIM密钥。在电子邮件被发送到其收件人之前,发件人的电子邮件服务器用数字签名签署每封电子邮件,然后由接收电子邮件的服务器进行验证。这个过程证明了电子邮件没有被篡改或以任何方式改变。 

当你发送你的电子邮件时,签名是作为一个头附在邮件的最后。收件人服务器使用公钥(由域名所有者通过DNS记录提供)来解密和验证这些签名。

为什么DKIM密钥旋转对你的域名安全很重要?

DKIM密钥轮换是指你开始使用一个新的私人/公共密钥对来签署和验证你的信息,然后停止使用旧的私人/公共密钥对。

为什么这很重要?好吧,如果有人能够获得你的私钥,他们实际上可以用它来发送看似来自你的欺诈性电子邮件!为了防止这种恶意活动,最好的做法是每隔几个月轮换你的密钥。为了防止这种恶意活动,最好的做法是每几个月轮换一次你的密钥。

为了更好地理解DKIM密钥旋转的重要性,让我们看看这个例子。 

比方说,你为你的商店的假日促销活动发送了一封电子邮件。你使用你的DKIM密钥来签署你的电子邮件,但如果你长期使用相同的密钥对发送足够多的电子邮件,坏的行为者最终可能会拦截并解码其中的一个,因为每个消息都使用相同的加密哈希算法。一旦他们得到了你的公钥,他们就可以开始用它来签署他们的钓鱼邮件,而你甚至不知道这就是为什么定期轮换DKIM密钥对你的域名安全至关重要。

你如何轮换你的DKIM密钥?

1.手动旋转DKIM密钥

你可以通过为你的域名创建新的密钥,不时地手动旋转你的DKIM密钥。要做到这一点,请遵循以下步骤。 

  • 请到我们的免费 DKIM记录生成器工具
  • 输入你的域名的信息,并输入你选择的所需的DKIM选择器 
  • 点击 "生成 "按钮 
  • 复制你全新的一对DKIM密钥 
  • 公钥将被公布在你的DNS上,取代你以前的记录。
  • 私钥要与你的ESP共享(如果你是外包的电子邮件)或上载到你的电子邮件服务器上(如果你在内部处理电子邮件传输)。 

2.子域DKIM密钥授权

域名所有者可以通过让第三方为他们处理DKIM密钥旋转而将其外包。这是指域名所有者将一个专门的子域委托给一个电子邮件供应商,并要求他们代表他们生成一个DKIM密钥对。这使得域名所有者可以通过将责任外包给第三方来规避DKIM密钥旋转的麻烦。 

然而,这可能导致DMARC条目的政策覆盖问题。建议由域控制器监控和审查轮换的密钥,以确保顺利和无错误的部署。 

3.DKIM CNAME密钥授权

CNAME是canonical name的缩写,是用于指向外部域数据的DNS记录。CNAME委托允许域名所有者指向由任何外部第三方维护的DKIM记录信息。这类似于子域委托,因为域名所有者只需要在他们的DNS上发布一些CNAME记录,而DKIM基础设施和DKIM密钥旋转则由记录所指向的第三方处理。 

比如说。 

"domain.com "是要签名的原发电子邮件的域名,"third-party.com "是将处理签名过程的供应商。 

s1._domainkey.domain.com CNAME s1.domain.com.third-party.com

上述CNAME记录需要在域名所有者的DNS中发布。 

现在,s1.domain.com.third-party.com已经在其DNS上发布了一条DKIM记录,可以是。 s1.domain.com.third-party.com TXT "v=DKIM1; p=MIG89hdg599...."

这些信息将被用来签署来自domain.com的电子邮件。 

注释: 你需要发布 多个DKIM记录(建议:至少3条CNAME记录),在你的DNS上有不同的选择器,以实现DKIM密钥轮换。这将允许你的供应商在签署时切换密钥,并为他们提供备选方案。

4.自动轮换DKIM密钥

大多数电子邮件供应商和第三方电子邮件服务提供商都为客户实现了DKIM密钥的自动旋转。例如,如果你使用Office 365来路由你的电子邮件,你会很高兴地知道,微软支持为他们的Office 365用户自动旋转DKIM密钥。 

我们已经在知识库中介绍了关于如何为你的Office 365电子邮件启用DKIM密钥轮换的完整文档。 

自动轮换你的DKIM密钥的好处

  • 如果你的供应商允许DKIM密钥的自动轮换,你不需要做任何事情。一切都是由他们管理的。 
  • 手动配置容易出现人为错误。
  • 自动旋转钥匙是快速而有效的,不需要你的干扰。 
  • DKIM管理系统是完全外包的,由第三方处理。

部署DKIM密钥轮换策略

我们称其为"DKIM密钥旋转的3个D":

  • 讨论 
  • 决定
  • 部署 

这就是为你的域名制定的有效的DKIM密钥轮换策略的总结。当你为你的电子邮件使用任何第三方服务,并且你的供应商为你处理轮换时,确保你有一个公开和透明的讨论,说明你想何时和多长时间轮换一次你的密钥。你应该对时间表以及你想用于选择密钥的大小有发言权(无论你想使用1024位还是2048位以获得更多的安全)。 

一旦讨论阶段过去,你和你的供应商必须共同决定你的战略是什么,并最终进行部署。