gpt4 book ai didi

spf - DMARC -spf 和 DKIM 记录查询

转载 作者:行者123 更新时间:2023-12-04 19:03:35 24 4
gpt4 key购买 nike

我有一个第 3 方供应商的场景……我们公司有很多第 3 方邮件服务。我已经使用 p 设置了 dmarc - none,并且 SPF 记录已使用已知的发送服务器进行了更新。
您能否澄清我在 Dmarc.org 网站上阅读的关于使第 3 方供应商符合 Dmarc 的声明。
1. 将第 3 方发送服务器添加到我们的 spf 记录中
2. 或分享您的 DKIM 私钥给他们

我的问题是,SPF 会检查来自地址的信封,因此当供应商代表我们发送邮件时,发件人地址将是我们的公司地址(例如 abc@companyname.com),信封来自将是供应商地址(例如。 , abc@vendorname.com)。那么SPF将如何通过呢? SPF会检查信封的dns服务器吗?我的理解对吗?

其次,DKIM 从地址检查还是从地址检查信封?当我们将私钥分享给我们的供应商时,它是如何工作的。

最佳答案

SPF:您说得对,供应商需要将信封从地址更改为与您的组织域保持一致。有些人会很容易做到这一点,有些人很难,有些人根本不会改变信封。当您让第三方更改他们的信封时,要记住的一件重要事情是,在大多数情况下,更改会使他们对退回视而不见 - 第三方需要退回以实现列表卫生等 - 这是一个问题。为了避免这种情况,让他们使用您组织域的子域并在那里设置 MX。例如,如果您是 companyname.com,而您的第三方是 vendorname.com,则让他们使用 vendor-bounces.company.com 的信封,然后将 MX 记录设置回 vendorname.com 以进行供应商退回。 company.com 将以一致的方式解决问题。
DKIM:DKIM 本身不检查任何地址。如果您查看 DKIM 签名,您会看到一个 d 等价物,例如 d=gmail.com。该域用于检索公钥以验证消息。 DKIM 本身没有这样的要求,但是 DMARC 要求 DKIM 签名中的 d= 域与 from header 中的组织域匹配。这是标识符对齐,如 RFC 7489 的第 3.1 节所述。 ( https://www.rfc-editor.org/rfc/rfc7489#section-3.1 ) 在实际层面上,您必须在 DNS 命名空间中发布公钥,并且签名第三方必须使用随附的私钥对消息进行签名.通过在特定的 DNS 命名空间(例如 selector._domainkey.companyname.com)中发布公钥,您授权任何私钥持有者(例如 vendorname.com)为 companyname.com 发送经过 DMARC 身份验证的电子邮件。
注意:DMARC 本身总是使用 from header ,即用户所看到的,作为记录域。然后,标识符对齐需要由单个身份验证协议(protocol)(如 SPF 或 DKIM)进行身份验证的内容 - 分别来自信封和 d= 域 - 与来自 header 中的域对齐(基本上匹配)。
这有帮助吗?

关于spf - DMARC -spf 和 DKIM 记录查询,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/30962169/

24 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com