Насколько часто вы меняете ключи DKIM?

Вы насколько часто их меняете?

Думаете, тут каждый второй свой почтовый сервер поддерживает? И, второй вопрос, зачем их менять часто?

Логично предположить, что только при первичной настройке сервера или при его переносе, компрометации etc.

Ну, если не свой, то «рабочий».

А насчет второго вопроса — я как раз и хочу понять, многие ли заморачиваются этим чисто на всякий случай, периодически, или только когда что-нибудь меняется.

спроси сначала, у кого вообще он настроен :)

у меня настроен. ща посмотрю.

у меня s=mail . и никакой даты в разделе DKIM-Signature свойства письма я не вижу.

только при первичной настройке сервера или при его переносе, компрометации etc.

Да, собственно, менять чтобы поменять — это плохая практика. DKIM работает почти как репутация (образно, конечно), и его сброс повлечёт за собой соответствующие трудности.

// Адресовано топикстартеру, а не автору комментария; последний вроде компетентен и в подобных разъяснениях ясельного уровня не нуждается.

Никогда.

http://www.m3aawg.org/DKIMKeyRotation

зачем их менять?

у кого вообще он настроен

У тех, кто настроил, у тех и настроено. Или как обычно, глупо упускать возможность упустить возможность ?

У меня вот настроено зачем-то.

насколько часто их меняете?

Не надо их менять ни с какой периодичностью, если нету подозрений в компрометации.

http://www.m3aawg.org/DKIMKeyRotation

DKIM keys should be rotated at least every six months. Doing so reduces the risk of active keys being compromised, either by attackers cracking or stealing them

Т.е. это универсальный рецепт на вообще все случаи любой жизни, поменяй Х немедленно, ты же не уверен, что этот Х злобные хакеры|Трамп|китайцы|инопланетяне не упёрли.

Воистину так.

DKIM работает почти как репутация

Верное замечание. Тот же SpamAssassin за правильно настроенный и валидный DKIM даёт всего +0.2, а просто за наличие DKIM и вовсе отнимает баллы -0.1. И от чёрных списков никакая подпись не спасёт.

Никогда не меняю. А зачем?

Хз, opendkim по умолчанию этого не делает. Какие-то свои скрипты городить - ну хз, это же не такая простая операция. Надо с DNS все сделать как положено. При этом чтобы письма со старым ключом продолжали доходить какое-то время и тд. В общем рекомендация чисто теоретическая. На практике это делать сложно. Особой нужды в этом нет, значит никто делать не будет, ну разве что огромные сервисы, которые это все могут автоматизировать.

В принципе несложно - старый селектор из DNS не удаляешь, просто добавляешь новый и начинаешь подписывать письма новым.

Иногда эти +0.2/-0.1 могут повлиять. Особенно на старте работы почтового сервера.

А СпамОтсосин я не люблю, он медленный. Но это мои половые трудности.

И чё, там через 10 лет будет 20 левых селекторов? Небось какому-нибудь RFC такое будет противоречить и что-нибудь да сломается в какой-то момент. Всё равно чистить надо.

Да хоть 1000. А сколько их у какого-нибудь _domainkey.amazonses.com я даже боюсь представить.

Сломаться и противоречить RFC это не может, т.к. именно для этого селекторы и задумывались. Наоборот не рекомендуется менять ключ в существующем селекторе, т.к. письма, подписанные этим ключом, перестанут проходить проверку. Рекомендуется как раз заводить новый.

Это всего лишь запись в DNS. Если мешает - удалить несложно.

Да хоть 1000.

Ну да, а какой-нибудь gmail прочитает первые 8 и остальные проигнорирует. И даст отлуп твоим письмам.

А сколько их у какого-нибудь _domainkey.amazonses.com я даже боюсь представить.

Один, естественно. _domainkey.amazon.com. 7199 IN TXT "t=y; o=~; r=abuse@amazon.com"

gmail «прочитает» только тот, который указан в твоем письме. О существовании других он никак не узнает. Так же, как и ты не знаешь о существовании селекторов внутри _domainkey.amazonses.com.

Например, 224i4yxa5dv7c2xz3womw6peuasteono._domainkey.amazonses.com.

Ты пишешь какую-то ерунду.

Ты прав, я туплю.