Gly*_*yph 2 domain-name-system email spf dkim dmarc
由我的域发送的邮件将始终经过 DKIM 签名,收件人应立即丢弃任何未签名的邮件。但是严格的 SPF 实施会导致内部邮件转发规则和其他类型的实施细节导致虚假破坏的问题。什么是 SPF、DKIM 和 DMARC 记录的适当组合,以导致接收系统将 DKIM 故障视为绝对的“停止发送,它肯定是垃圾邮件”,但 SPF 只是一个提示?
这是通过设计,如果DMARC通过任一DKIM或SPF被对准即匹配与所述From报头。众所周知,DKIM 对齐可以在转发中幸存下来,而 SPF 对齐则不行:转发邮件的服务应该将邮件放入另一个信封中,即使用自己的MAIl FROM( Return-Path) 地址,尽管 SPF 是自己传递的,但这会破坏对齐。
关于配置:
From标题对齐。没有硬/软 DKIM 失败这样的事情,因为 DKIM 测试只是将签名与从 DNS 发布的公钥进行比较。p=reject。From标头方面变得不那么重要了。例如,~all可以防止 SPF 出现硬故障,从而使您的信封域部分不受保护。由于 DMARC 需要 SPF 才能通过并对齐,因此它会在 SPF softfail上失败,但只要通过 DKIM 对齐就可以了。如果您想对 DKIM 绝对严格,请记住,仅对齐并通过 SPF 也会使 DMARC 通过。如果您想让 DMARC 在没有 DKIM 的情况下始终失败,您可以使用不同的域作为信封发件人,并v=spf1 -all制定一个SPF 策略来完全防止将此域用作信封发件人。但是,这不是典型的配置,在某些垃圾邮件过滤器上可能看起来更糟。