我运行一个 Web 服务,该服务应该能够使用公司地址发送电子邮件,例如[电子邮件保护]。但是,我并不想让此服务访问company.com(出于安全原因)而是想从另一台服务器发送电子邮件(例如foo.com)
我的理解是,我可以通过将 SPF / DKIM 记录添加到 DNS 配置来实现这一点company.com,提到foo.com作为发送电子邮件的有效域名[电子邮件保护]。
就我所了解的 DKIM / SPF 而言,我认为存在一个潜在问题,那就是如果我的foo.com邮件服务器被黑客入侵,它将能够向所有地址发送经过验证的电子邮件[电子邮件保护]域(例如来自[电子邮件保护]),这当然是不可接受的。
我的问题:
有没有办法指定 SPF / DKIM 记录,以便只有一个电子邮件地址([电子邮件保护])允许通过foo.com?
我了解到 DKIM 支持选择器这可能取决于这项任务,但我找不到有关电子邮件服务器接受/理解哪些类型的选择器的任何信息,所以我不确定这是否是实现该任务的正确策略。
当然,我也愿意接受其他解决方案,以确保我的服务能够发送经过验证的电子邮件[电子邮件保护]即使电子邮件帐户被盗用,也无法冒充任何其他电子邮件帐户。
答案1
无法使用 DKIM 或 SPF 指定单个电子邮件地址。
建议的解决方案:
- 对于小批量,请让他们通过提交端口 (587) 连接到您的邮件服务器,并在发送前进行身份验证。这可能适合您的情况。
- 对于较大的数量(营销邮件、邮件列表),请创建专用子域。为此子域配置 SPF 和 DKIM。
无论哪种情况,请确保发送地址是合适的地址。
答案2
让我们进一步分析一下。我可以从[电子邮件保护],根据您的 SPF 设置,将发生的一切是,它将根据您的 SPF 设置将其“失败”、“软失败”或将其视为“中性”电子邮件,,,-all
。~all
我?all
仍然将电子邮件发送为[电子邮件保护],它可能会进入收件箱,也可能进入垃圾邮件文件夹。这实际上取决于接收方电子邮件服务器的过滤器。
由于这不能解决问题,他们想出了DMARC当接收邮件服务器强制执行此标准时,如果 SPF 记录和 DKIM 均失败,则实际上会拒绝电子邮件,并在发生这种情况时向您发送报告。这是您唯一真正的保护。
假设您设置了 DMARC,因为如果没有它,您的 Web 服务与我直接假装您发送电子邮件没有什么不同。
然后,您可以添加 SPF 记录以允许您的 Web 服务发送电子邮件。
现在您担心您的 Web 服务被黑客入侵,但这与您公司的主要电子邮件服务器被黑客入侵有何不同?如果他们入侵了您的 Web 服务,那么什么可以阻止他们入侵您的 DNS 记录并更改 SPF?
我完全赞成降低风险,但实际上,如果测试了漏洞,您就会遵循所有保护 Web 服务的协议。我认为您成为攻击目标的可能性很低。