我有一个通过 Mailchimp 和 Google 发送电子邮件的域。我已经为它们设置了 DKIM,并添加了 DMARC 记录(用于测试 atm)。我收集 DMARC 失败的报告,其中绝大多数报告都是 SPF 失败的。
根据我的理解,SPF 是可以发送电子邮件的 IP/主机的白名单,而 DKIM 是发件人必须用来签署电子邮件的密钥。对我来说,DKIM 似乎更适合欺骗保护。
在我搜索的所有地方,我都只看到 SPF 对于电子邮件保护至关重要,但在我的情况下我不明白为什么。由于设置了 DKIM,只有 Mailchimp 和 Google 可以发送电子邮件,并且 DMARC 将使收件人拒绝来自其他任何地方的电子邮件。限制 IP 地址似乎并没有给这种组合带来任何好处。
在这种情况下可以使用 +all 禁用 SPF 吗?如果我这样做,在什么情况下我会受到较少的保护?
App*_*ity 11
SPF、DKIM 和 DMARC 协同工作,以提高您的域的信任度以及将电子邮件传送到收件箱。但是,要记住的重要一点是,收件人电子邮件系统可以自由地以他们想要的任何方式处理您的电子邮件。因此,不能保证这些机制中的任何一项或多项都得到正确实施。
\nSPF 和 DKIM 本身最重要的一点是,它无法确保from标头经过身份验证。这是收件人在其邮件客户端中看到的电子邮件地址。因此,它们不能有效地确定最终用户所看到的内容是否真实。
return-path对于 SPF,它仅检查SMTP 消息中标头(也称为信封发件人)中指定的域。这不是最终用户看到的地址。
对于DKIM,它只关心d=标头中参数中指定的域dkim-signature。同样,最终用户看不到这一点。
DMARC 修复了此问题。DMARC 要求 SPF或DKIM上的“对齐”正确。
\nfrom标头中的域必须与标头中的域匹配return-path。当通过第三方批量邮件提供商发送电子邮件时,这种情况很少发生,因为return-path提供商会跟踪退回邮件和投诉,并且通常是由第三方管理的电子邮件地址。这就是您在 DMARC 报告中看到 SPF 失败的原因。d=对于 DKIM,标头字段中指定的域dkim-signature必须与标头中的域匹配from。这可以通过确保第三方发件人(即 Mailchimp)正确配置 DKIM 签名并且您已将适当的 DNS 记录添加到您的域来实现。此“对齐”检查可确保最终用户在其电子邮件客户端中看到的内容经过 SPF 或 DKIM 的身份验证。如果传递的 SPF 记录或 DKIM 记录与标头(最终用户看到的内容)一致from,则邮件将通过 DMARC。否则,DMARC 将失败。
请注意,这些协议仅检查电子邮件地址的 \xe2\x80\x9c 域名\xe2\x80\x9d 部分。标志后面的部分@。这些都不会检查用户名部分的有效性。标志之前的部分@。
因此,您可以看到 SPF 和 DKIM 对于 DMARC 的完整功能都是必需的。所有这三个都是正常邮件流所必需的。而且,并非所有收件人电子邮件系统都以相同的方式或正确地实施这些标准。
\n对于系统管理员来说,一个巨大的挫败感是,大量发件人在发送电子邮件时仍未正确配置这 3 个标准。而且,遗憾的是,上述基本原则很少在任何地方得到正确解释。
\n是的,因为并非所有服务器都会在接收时检查 DKIM/DMARC,但目前 SPF 检查更加集成/部署。
On-Prem Exchange 的服务器就是一个例子。可以使用反垃圾邮件规则集检查 SPF 记录,并在更高版本中使用边缘传输角色,但 DKIM/DMARC 需要第三方集成才能启用它。
在这种情况下删除您的 SPF 记录可能会让您面临这种情况下的组织可能会收到欺骗性电子邮件。
| 归档时间: |
|
| 查看次数: |
1388 次 |
| 最近记录: |