DMARC -spf和DKIM记录查询

时间:2015-06-21 07:14:35

标签: spf dkim dmarc

我有第三方供应商的情况......我们公司有很多第三方邮件服务。我已经用p-none设置了dmarc,并且使用已知的发送服务器更新了SPF记录。 您能否澄清一下我在Dmarc.org网站上读到的关于让第三方供应商Dmarc合规的声明。 1.将第三方发送服务器添加到我们的spf记录中 2.或者将DKIM私钥分享给他们

我的问题是,SPF会从地址检查信封,所以当供应商代表我们发送邮件时,来自地址的将是我们公司的地址(例如,abc @ company.com),信封来自供应商地址(例如,abc @ vendorname.com)。那么SPF将如何通过呢? SPF会检查信封的DNS服务器吗?我的理解是对的吗?

其次,DKIM从地址或地址检查?当我们与供应商共享私钥时,它是如何工作的。

1 个答案:

答案 0 :(得分:5)

SPF:您是对的,供应商需要更改地址信封以与您的组织域保持一致。有些人很容易做到这一点,有些人很难做到,有些人根本不会改变信封。当你让第三方改变他们的信封时要记住的一件重要事情是,在大多数情况下,这种改变会使他们无法反弹 - 第三方需要反弹以进行清单卫生等 - 这是一个问题。为了避免这种情况,请让他们使用您的组织域的子域并在那里设置MX。例如,如果您是companyname.com并且您的第三方是vendorname.com,让他们使用来自vendor-bounces.company.com的信封,然后将MX记录设置回vendorname.com以获取供应商反弹。 company.com将以一致的方式解决问题。

DKIM:DKIM本身不会检查地址。如果您查看DKIM签名,您会看到d等于d = gmail.com。此域用于检索公钥以验证消息。 DKIM本身没有此类要求,但DMARC要求DKIM签名中的d =域与from标头中的组织域匹配。这是标识符对齐,如RFC 7489的第3.1节中所述。(https://tools.ietf.org/html/rfc7489#section-3.1)在实际级别,您必须在DNS命名空间中发布公钥,并且签名的第三方必须使用话务员私钥来签名一个消息。通过在特定的DNS命名空间中发布pubkey,比如select._domainkey.companyname.com,您授权私钥的任何持有者(例如vendorname.com)为companyname.com发送经过DMARC验证的电子邮件。

一个注意事项:DMARC本身始终使用from标头,即用户看到的内容,作为记录域。然后,标识符对齐需要通过各个身份验证协议(如SPF或DKIM)进行身份验证 - 分别来自和d = domain - 以与from头中的域对齐(基本匹配)。

这有帮助吗?