我正在查看公司发送的新闻稿邮件的邮件头。我无法理解外部服务器(新闻稿提供商)如何能够以他们作为信封发件人发送邮件,而以我的域名作为邮件“发件人”,并且没有向新闻稿提供商提供任何 DNS 配置。
我知道 SPF 和 DKIM 与信封相关,但是信封通过 SPF 检查后,它可以发送带有任何邮件头的消息吗?没有任何东西可以将信封与邮件联系起来吗?
答案1
默认情况下,根本没有链接。SPF 可防止 Envelope-From 欺骗,但不能防止 RFC822“From:”欺骗。DKIM 签名会验证 RFC822“From:”标头,但会忽略 Envelope-From(因为它不是数据的一部分,而是传输的一部分)
仅当发送域具有 DMARC 策略时才会创建链接 - 一旦存在该策略,支持 DMARC 的收件人将要求两个字段“对齐”,即 RFC822“发件人:”域必须与 Envelope-From 完全匹配或(在宽松模式下)至少是 Envelope-From 的子域,同样,它必须完全匹配或成为 DKIM 签名者域的子域。
(DMARC 对齐检查的缺点是,除非重写邮件的“发件人:”标头,否则邮件不再能够合法地从一个邮箱自动转发到另一个邮箱。这在过去给邮件列表带来了很多问题,因为它们无法再保留原始发件人。)