我有第三方供應商的場景......我們公司有很多第三方郵件服務。我已經建立了d-pmar,使用已知的發送服務器更新了SPF記錄。 請您澄清一下我在Dmarc.org網站上閱讀的關於使第三方供應商符合Dmarc的聲明。 1.可以添加第三方服務器發送到我們的SPF記錄 2或分享您的DKIM的私鑰對他們DMARC -spf和DKIM記錄查詢
我的問題是,SPF檢查從地址的信封因此當供應商將代表我們的郵件,發件人地址將是我們的公司地址(例如,[email protected]),並且信封將是供應商地址(例如,[email protected])。那麼SPF將如何通過? SPF將檢查信封的DNS服務器?我的理解是正確的嗎?
其次,DKIM從地址或信封地址檢查?當我們將私鑰分享給我們的供應商時,它是如何工作的。
SPF:你說得對,供應商需要將信封從地址更改爲與組織域對齊。有些人很容易做到這一點,其他人很難,有些人根本不會改變信封。當第三方更換信封時,要記住的一件重要事情是,在大多數情況下,這種變化會使他們無法反彈 - 第三方需要爲列表衛生等而反彈 - 這是一個問題。爲了避免這種情況,讓他們使用組織域的子域並在那裏設置MX。例如,如果您是companyname.com,並且您的第三方是vendorname.com,那麼讓他們使用vendor-bounces.company.com的信封,然後將MX記錄設置回vendorname.com供應商反彈。 company.com將以一種對齊的方式解決問題。
DKIM:DKIM本身不檢查地址。如果你看一下DKIM簽名,你會看到一個d equate,比如d = gmail.com。該域用於檢索公鑰以驗證消息。 DKIM本身沒有這樣的要求,但是DMARC要求DKIM簽名中的d =域匹配from頭中的組織域。這是標識符對齊,如RFC 7489的第3.1節所述。(https://tools.ietf.org/html/rfc7489#section-3.1)在實際級別,您必須將公鑰發佈到您的DNS名稱空間中,並且簽名的第三方必須使用話務員私鑰簽名消息。通過在特定的DNS名稱空間中發佈pubkey(稱爲selector._domainkey.companyname.com),您正在授權任何私鑰持有者(如vendorname.com)爲companyname.com發送DMARC認證的電子郵件。
一個注意:DMARC本身始終使用from標題,即用戶所看到的作爲記錄域。然後,標識符對齊需要通過單個身份驗證協議(如SPF或DKIM - 分別來自和d =域)進行身份驗證,以便與來自標頭的域(基本上匹配)對齊。
這有幫助嗎?