亚马逊目前的SES文档说:
如果您使用Amazon SES从您的域发送,您需要知道当前的SES实施涉及从SES拥有的MAIL-FROM域发送电子邮件。这意味着您无需对DNS记录进行任何更改,以便您的电子邮件通过SPF身份验证。
来源:http://sesblog.amazon.com/post/Tx3IREZBQXXL8O8/SPF-and-Amazon-SES
OpenSPF以这种方式描述SPF:
什么是SPF?
SPF(在RFC 4408中定义)验证作为SMTP协议(RFC 2821 - "信封"层)的一部分给出的HELO域和MAIL FROM地址。 MAIL FROM地址通常显示为" Return-Path"如果您选择"显示所有标题"您的电子邮件客户端中的选项。域所有者通过DNS发布记录,描述其授权机器在HELO和MAIL FROM地址中使用其域的策略,这些地址是SMTP协议的一部分。
来源:http://www.openspf.org/SPF_vs_Sender_ID
我不明白这两者是如何匹配的。
如果我目前的SPF记录如下:
v = spf1 mx a~all
(亚马逊不在我的MX记录中。)
我会想象接收器会......
HELO abc.smtp-out.amazonses.com
MAIL FROM: <user@mydomain.com>
...然后接收者得到&#34; mydomain.com &#34; SPF TXT记录并说,&#34;嘿, abc.smtp-out.amazonses.com 未列出,因此 SPF = FAIL 。&#34;
我误解了什么?
P.S。似乎亚马逊SES曾经让你添加&#34;包括:amazonses.com&#34;到您的SPF记录,这对我来说非常有意义。资料来源:How to know if the SPF config is working (Amazon SES/Route53)?
答案 0 :(得分:3)
因此,您不会参与您引用的SPF记录,因为Amazon SES使用的MAIL FROM地址不是您域中的地址。
假设您收到了通过Amazon SES发送的电子邮件,请将其打开并查看Return-Path地址。它将是某个亚马逊拥有的域的地址(可能是amazonses.com,可能还有其他内容)。这是亚马逊拥有的域的MX和SPF记录,用于确定退回邮件的接收MTA和分别授权邮件的SPF身份。
因此,此亚马逊消息的接收者永远不会检查&#39; From&#39;的SPF记录。域(mydomain.com)因此不需要将其添加到mydomain.com的SPF记录中。实际上,添加它可能有害,因为SPF中有10个域查找限制(接收者在评估消息的SPF结果时只应该总共发出10个DNS请求。)
验证Amazon SES原始电子邮件的正确方法是使用Easy DKIM。这可确保电子邮件经过身份验证,并且身份验证使用与From相同的域。这确保了可以使用DMARC
对电子邮件进行身份验证