我有一个第三方供应商的情况…我们公司有很多第三方邮件服务。我已经用p设置了dmarc –没有,并且SPF记录已使用已知的发送服务器进行了更新。您能否澄清一下我在Dmarc.org网站上阅读的有关使第三方供应商Dmarc兼容的声明。1.将第三方发送服务器添加到我们的spf记录中2.或向它们共享您的DKIM私钥
我的问题是,SPF检查地址中的信封,这样当卖方代表我们发送邮件时,发件人地址将是我们的公司地址(例如abc@companyname.com),信封中的信箱将是卖方地址(例如。 ,abc@vendorname.com)。那么,SPF将如何通过?SPF将检查信封的DNS服务器吗?我的理解正确吗?
其次,DKIM从地址检查还是从地址检查信封?当我们与供应商共享私钥时,它是如何工作的。
SPF:您是对的,供应商需要更改信封的地址,以与您的组织域保持一致。有些人很容易做到这一点,有些人很困难,而有些人根本不会改变信封。第三方更改信封时要记住的一件事是-在大多数情况下,更改会使他们盲目反弹-第三方需要列表卫生的反弹等-这是一个问题。为了避免这种情况,请他们使用您组织域的子域并在其中设置MX。例如,如果您是companyname.com,而您的第三方是vendorname.com,则让他们使用vendor-bounces.company.com的信封-发件人,然后将MX记录设置回vendorname.com以获取vendor-bounce。 company.com将以统一的方式解决问题。
DKIM:DKIM本身不检查任何地址。如果您查看DKIM签名,则会看到诸如d = gmail.com之类的适当信息。此域是用来检索公共密钥以验证消息的域。DKIM本身没有这样的要求,但是DMARC要求DKIM签名中的d =域与from头中的组织域匹配。如RFC 7489第3.1节所述,这是标识符对齐。(https://tools.ietf.org/html/rfc7489#section-3.1)实际上,您必须在DNS名称空间中发布公钥,并且签名的第三方必须使用附带的私钥对邮件进行签名。通过将发布密钥发布到特定的DNS名称空间(例如,selector._domainkey.companyname.com)中,即表示您授权私钥的任何持有人(例如vendorname.com)发送DMARC认证的电子邮件,以发送companyname.com。
注意事项:DMARC本身始终使用from头(即用户看到的内容)作为记录域。然后,标识符对齐需要通过单个身份验证协议(例如SPF或DKIM)进行身份验证的内容-分别来自from和d =域的信封-才能与from头中的域对齐(基本匹配)。
有帮助吗?
| 归档时间: |
|
| 查看次数: |
1023 次 |
| 最近记录: |