DKIM: Могу ли я безопасно добавить запись политики DomainKey, не нарушая существующую электронную почту?

Мне нужно настроить DKIM для проверки поставщика электронной почты, который мы используем. В документации провайдера они требуют, чтобы мы добавили две записи, запись селектора и запись политики, например:

selector._domainkey.mydomain.com TXT "k=rsa; p=mykeyhere"
_domainkey.mydomain.com TXT "t=y; o=~"

Меня беспокоит добавление этой новой политики, потому что у нас уже настроено довольно много селекторов DKIM в нашей зоне DNS без существующей записи политики (мы используем несколько сторонних поставщиков, которым необходимо отправлять электронную почту от нашего имени). Я хочу быть уверен, что не нарушу существующую функциональность, создав эту запись. Из того, что я читал, у вас может быть только одна политика на зону, так что она, так сказать, «общая».

Я немного изучил это, и политика, которую требует поставщик, т=у; о=~, должно быть довольно безобидно. Похоже, что некоторые электронные письма могут быть подписаны и обрабатывать проверенные / непроверенные электронные письма одинаково (Справка).

Тем не менее, это повлияет на наше производственное приложение, и я надеюсь получить некоторую уверенность в том, что это безопасно добавлять. Я прав в своем предположении, что я могу добавить эту запись, не вызывая пометки нашей исходящей электронной почты как спама? Или я что-то упускаю?

DKIM — это инструмент для подписи. это инструмент пост-проверки в том смысле, что вы не можете угадать ключ селектора до того, как получите сообщение. Существует соглашение называть ваш селектор «селектор1», но это просто простое имя, потому что для имени нет обязательной формы. вашего селектора. Таким образом, вы можете опубликовать столько селекторов DKIM в своей записи DNS, только те, которые используются в отправленном сообщении, будут проверены (в конечном итоге) после получения этих сообщений. И, надеюсь, они будут успешно проверены, если ваша публикация DNS связана с этими ключами. Но публикация ключей выбора DKIM не обязывает вас использовать их как таковые.

Единственный случай, когда DKIM приведет к сбою доставки, — это в сочетании с DMARC, только если DMARC требует наличия подписи DKIM, соответствующей вашему домену, и вы не можете вставить ее в отправленное сообщение. Или вы вставили его в свое сообщение, но забыли опубликовать его в своем DNS.

Поскольку ваш DMARC не требует согласования (policy=none), DKIM никак не повлияет на работу вашего бизнеса.

Кстати, многие сообщения имеют несколько подписей DKIM, без проблем с доставкой.

Кстати (2) было бы неплохо подумать о добавлении подписи DKIM на ваши устаревшие почтовые серверы, чтобы вы могли использовать DMARC для лучшей защиты своего бизнеса от фишинга или от ложных обвинений в переходе по подозрительным ссылкам, но это еще один тема.