有没有办法强制 DMARC 拒绝/拒绝未通过 DKIM 和 SPF 的邮件?
我们一直在缩小失败的数量,但我们的汇总 (rua) 报告中有一些域仅通过了 DKIM,我们宁愿它们通过我们的 DMARC,因为我们无法识别它们。
我们确实识别的域是完全对齐的。
我们的最终目标是,除非完全对齐(DKIM 和 SPF),否则消息将被拒绝
根据基本假设托换DMARC,没有人应该能够通过任何一个DKIM或SPF测试为您的域名,除非该邮件是由自己控制的服务器来。两者中的任何一个通过就足以证实这一点。
因此没有办法强制 DMARC 要求两者都通过,也不应该有理由这样做。
如果第三方能够像您一样通过 DKIM 测试,而您没有授权他们,那么您就有了安全问题,这就是您需要解决的问题。
首先,确保您没有在解释您看到的报告时犯错误。他们是 DKIM 签名的,但域不是您的吗?如果是这样,您无需执行任何操作。但是,如果未经您授权的电子邮件使用您的域进行了 DKIM 签名,则表明您做错了。
采取的步骤:
生成一个新的 DKIM 密钥,开始使用它进行签名,并从您的 DNS 记录中删除对旧密钥的引用(保留旧 DNS 记录将允许继续使用旧密钥)。
确保 DKIM 密钥的私有部分安全。默认情况下,它应该对服务器上除 root 之外的所有人隐藏。保持这种方式。
确保您没有签署来自不受信任来源的邮件。您应该只将 DKIM 签名添加到由您和您的用户发起的邮件中。
如果使用 OpenDKIM,这由 InternalHosts 选项控制,并且您还应该确保在通过本地过滤器或代理传递邮件后没有重新运行 OpenDKIM,这会使邮件看起来像是来自内部的邮件。
不需要,DMARC 设计为仅需要 DKIM + ADKIM 或 SPF + ASPF 即可通过。
没有要求两者都需要。
我发现很难理解 DKIM 如何通过对齐测试,如果 d= 键与 from 不匹配,那么它将无法通过 ADKIM 测试。
在此处查看标识符必须如何匹配:DMARC 电子邮件标识符
即使您没有在 DMARC 记录中指定 adkim,它也会默认为“Relaxed”,这仍然无法对齐。
| 归档时间: |
|
| 查看次数: |
3029 次 |
| 最近记录: |