我有一个第 3 方供应商的场景……我们公司有很多第 3 方邮件服务。我已经使用 p 设置了 dmarc - none,并且 SPF 记录已使用已知的发送服务器进行了更新。您能否澄清我在 Dmarc.org 网站上阅读的关于使第 3 方供应商符合 Dmarc 的声明。1. 将第 3 方发送服务器添加到我们的 spf 记录 2. 或将您的 DKIM 私钥分享给他们
我的问题是,SPF 会检查来自地址的信封,因此当供应商代表我们发送邮件时,发件人地址将是我们的公司地址(例如 abc@companyname.com),信封来自将是供应商地址(例如。 , abc@vendorname.com)。那么SPF将如何通过呢?SPF会检查信封的dns服务器吗?我的理解对吗?
其次,DKIM 从地址检查还是从地址检查信封?当我们将私钥分享给我们的供应商时,它是如何工作的。
SPF:您是对的,供应商需要将信封从地址更改为与您的组织域保持一致。有些人会很容易做到这一点,有些人很难,有些人根本不会改变信封。当您让第三方更改他们的信封时,要记住的一件重要事情是,在大多数情况下,更改会使他们对退回视而不见 - 第三方需要退回以实现列表卫生等 - 这是一个问题。为了避免这种情况,让他们使用您组织域的子域并在那里设置 MX。例如,如果您是 companyname.com,而您的第三方是 vendorname.com,则让他们使用 vendor-bounces.company.com 的信封,然后将 MX 记录设置回 vendorname.com 以进行供应商退回。 company.com 将以一致的方式解决问题。
DKIM:DKIM 本身不检查任何地址。如果您查看 DKIM 签名,您会看到 ad equate,例如 d=gmail.com。该域用于检索公钥以验证消息。DKIM 本身没有这样的要求,但是 DMARC 要求 DKIM 签名中的 d= 域与 from 标头中的组织域匹配。这是标识符对齐,如 RFC 7489 的第 3.1 节所述。(https://www.rfc-editor.org/rfc/rfc7489#section-3.1) 在实际层面上,您必须在您的 DNS 命名空间中发布公钥,签名第三方必须使用随附的私钥对消息进行签名。通过在特定的 DNS 命名空间(例如 selector._domainkey.companyname.com)中发布公钥,您授权任何私钥持有者(例如 vendorname.com)为 companyname.com 发送经过 DMARC 身份验证的电子邮件。
注意:DMARC 本身总是使用 from 标头,即用户所看到的,作为记录域。然后,标识符对齐需要由单个身份验证协议(如 SPF 或 DKIM)进行身份验证的内容 - 分别来自信封和 d= 域 - 与来自标头中的域对齐(基本上匹配)。
这有帮助吗?