我有一个与第三方供应商的场景……我们公司有很多第三方邮件服务。我已经使用 p – none 设置了 dmarc,并且使用已知的发送服务器更新了 SPF 记录。
您能否澄清我在 Dmarc.org 网站上读到的有关使第 3 方供应商符合 Dmarc 要求的声明。
1. 将第 3 方发送服务器添加到我们的 spf 记录中
2. 或者将您的 DKIM 私钥分享给他们
我的问题是,SPF 检查信封的发件人地址,因此当供应商代表我们发送邮件时,发件人地址将是我们公司的地址(例如,[电子邮件受保护]),信封来自将是供应商地址(例如,[电子邮件受保护])。那么SPF如何通过呢? SPF 会检查信封的 DNS 服务器吗?我的理解对吗?
其次,DKIM 支票来自地址还是信封来自地址?当我们向供应商共享私钥时,它是如何工作的?
SPF:您是对的,供应商需要更改信封地址以与您的组织域保持一致。有些人很容易做到这一点,有些人则很困难,有些人根本不会改变信封。当您让第三方更改其信封来源时,要记住的一件重要事情是,在大多数情况下,更改会使他们对退回邮件视而不见 - 第三方需要退回邮件以保持列表卫生等 - 这是一个问题。为了避免这种情况,请让他们使用您组织域的子域并在那里设置 MX。例如,如果您是companyname.com,您的第三方是vendorname.com,请让他们使用vendor-bounces.company.com 的信封发件人,然后将MX 记录设置回vendorname.com 以进行供应商退回。 Company.com 将以一致的方式解决问题。
DKIM:DKIM 本身不会检查任何地址。如果您查看 DKIM 签名,您会看到一个等同项,例如 d=gmail.com。该域用于检索公钥以验证消息。 DKIM 本身没有这样的要求,但 DMARC 要求 DKIM 签名中的 d= 域与 from 标头中的组织域匹配。这是标识符对齐,如 RFC 7489 的第 3.1 节中所述。(https://www.rfc-editor.org/rfc/rfc7489#section-3.1)在实际层面上,您必须在 DNS 命名空间中发布公钥,并且签名第三方必须使用附带的私钥来签署消息。通过在特定 DNS 命名空间(例如选择器._domainkey.companyname.com)中发布公钥,您将授权私钥的任何持有者(例如供应商名称.com)为公司名称.com 发送经过 DMARC 身份验证的电子邮件。
需要注意的是:DMARC 本身始终使用 from 标头(即用户看到的内容)作为记录域。然后,标识符对齐需要由 SPF 或 DKIM 等单独的身份验证协议(分别是 from 和 d= 域的信封)进行身份验证,以与 from 标头中的域对齐(基本匹配)。
这有帮助吗?
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)
