我们的组织正在与第三方云服务建立一个帐户,该服务将代表我们发送电子邮件。我们的营销部门希望消除某些客户显示的“通过”或“代表”部分,以便电子邮件看起来像是直接来自我们。查看第三方关于此主题的帮助页面,他们要求我们在其服务器的区域中插入 DKIM 记录。我们目前为我们的邮件服务器实施 SPF,但没有实施 DKIM。
- 仅一个 DKIM TXT 记录是否足以允许第三方代表我们的组织发送邮件(无需更新我们的 SPF 策略,或添加任何其他引用其服务器的记录)?
- 除了我们允许第三方从我们的域发送合法电子邮件这一显而易见的事情之外,插入此 DKIM 记录是否会对我们系统的其余部分(安全或其他方面)产生任何影响?
答案1
如果您有一条 SPF 记录,禁止服务提供商的服务器发送邮件,则任何仅检查 SPF 或同时检查 SPF 和 DKIM 的收件人都可能对 SPF 失败感到不满。
我认为服务提供商也会向您提供 SPFinclude指令或类似指令来处理此问题。不,不应该有。DKIM 密钥是根据与其关联的选择器值进行查找的;整个域没有通用的 DKIM 记录,只有 DKIM 签名邮件中指定的特定选择器才有。添加 DKIM 记录不会影响未签名的邮件或使用其他选择器的密钥签名的邮件。DKIM
记录仅允许密钥持有者以合理的确定性*显示他们发送的邮件已获得域所有者的批准。
*) 除非包含 DKIM 记录的区域经过 DNSSEC 签名,否则无法验证记录数据的真实性。基于在这种情况下获取的密钥验证签名显然会极大地限制实际证明的内容。