DKIM

DKIM (DomainKeys Identified Mail) là chuẩn xác thực email được định nghĩa trong RFC 6376. Hệ thống thư gửi ký mỗi outgoing message bằng một private key mật mã; một header tên DKIM-Signature mang chữ ký, thuật toán, và con trỏ tới public key. Máy chủ nhận fetch public key từ DNS rồi xác minh rằng chữ ký khớp với body và các header được ký — chứng minh đồng thời rằng message xuất phát từ server giữ private key, và phần được ký của message không bị sửa trong quá trình transit.

Public key sống tại {selector}._domainkey.{domain} dưới dạng TXT record. Selector là định danh tùy chọn — thường là s1, s2, mail, hoặc tên theo vendor như amazonses. Selector cho phép key rotation: xuất bản key mới dưới selector mới, chuyển signer sang selector mới, giữ key cũ trong DNS đến khi message đang transit được flush, rồi xóa TXT record cũ. Rotation là vệ sinh cơ bản — phần lớn ESP rotate ít nhất hàng năm, và bất cứ khi nào nghi ngờ compromise.

Với sending theo vendor (Amazon SES, Mailgun, SendGrid, SparkPost — tất cả đều là built-in driver dưới app/SendingServers/Drivers/Vendors/), DKIM được ký phía vendor. Việc của operator là xuất bản CNAME hoặc TXT record do vendor cung cấp lên sending domain. Với SMTP driver thuần, DKIM signing được upstream MTA xử lý (milter opendkim của Postfix, signer built-in của Postal, …) — AcelleMail không tự ký DKIM.

Walkthrough thiết lập đầy đủ — record cụ thể cho từng vendor chính và cách verify signing — nằm trong pillar guide về deliverability.

SPF xác thực địa chỉ IP; DKIM xác thực chính message. Một email forward bị fail SPF (vì giờ đến từ IP của forwarder) thường vẫn pass DKIM (chữ ký cover phần body, không cover path). DMARC sau đó align một hoặc cả hai signal với header From: hiển thị. Ba layer hợp thành — deliverability hiện đại giả định bạn xuất bản đủ cả ba.