我对 DMARC 还不熟悉,所以这可能是一个愚蠢的问题(如果是的话,抱歉):
基本事实:我的公司有一个主要名称和许多其他“以...名义经营”(从现在起称为 DBA)的合作伙伴。但是,这些不同的域名只是主要用户电子邮件地址的别名。根据所涉及的品牌名称,我们的用户必须在各种不同的域名下发送电子邮件。
问题: 我在多个域上配置了 DKIM 签名和 SPF。尝试实施 DMARC 时,我发现我的许多电子邮件都通过了 SPF 和 DKIM,但因“未对齐”而未通过 DMARC。我的研究似乎表明,如果发件人和回复人不同,DMARC 总是会失败,但是对于我们的 DBA 域(由于它们是合法的、故意欺骗的,因此没有实际的电子邮件服务器),发件人和回复人必然会有所不同。还是我误解了这一点?
有没有办法告诉 DMARC,我故意出现这种不匹配的情况,因为我们的 DBA 协议规定我们必须为备用品牌使用备用域名。还是 DMARC 根本无法满足这一业务要求?我是否必须为每个用户的每个域名创建不同的电子邮件/用户帐户才能解决这个问题(希望不是,因为这是方式太多工作...)
是否存在我忽略的更简单的解决方案?
答案1
我想不出您需要打破 DKIM 和 SPF 之间的一致性的任何理由。这样做基本上就是承认您无法为发送域配置 DKIM。
我使用的方法是针对原始域签署电子邮件。我使用相同的密钥,并为所有发送域发布公钥。我对所有域使用相同的选择器。
对于 SPF,我使用以下三个记录之一:
- “v=spf1 a mx -all”- 适用于所有发送域
- “v=spf1 a -all” – 适用于所有 MX 服务器
- “v=spf1 -all”- 适用于所有其他(非发送)域