我们托管许多电子邮件群组。对于某些群组,我们允许人们使用自己的域名或子域名(电子邮件使用(子)域名发送,网络档案也托管在(子)域名上)。当使用子域名时,我们一直让人们将他们的子域名委托给我们,然后我们的 DNS 会提供服务(包括 SPF 和 DKIM 记录)。我们这样做而不是让他们使用 CNAME,因为 CNAME 记录不支持 SPF。
问题是许多域名注册商不支持委托子域名。我们是否有其他方式支持人们使用自己的子域名,并且与 SPF、DKIM 和 DMARC 兼容?我们不希望人们必须为我们的服务设置 SPF 和其他记录(例如,我们可能需要在将来更新这些记录)。
答案1
很高兴看到提供商担心这些问题。只要进行了适当的 SPF 配置,邮件服务器向其他域发送邮件就不会有问题。虽然您的客户最好有一个专门用于邮件列表的子域,但他们不必将其委托给您的服务器。它可能只是 SPF、DKIM 和 DMARC 记录的基础。
SPF 可以通过将您的 SFP 记录包含在他们的 SPF 记录中来处理。这将允许他们从您的 IP 地址发送。您可能需要创建一个子域来包含适合委派的 SFP 记录,因为您应该只在该记录中包含 IP 地址。(查看 google.com 和其他大型提供商如何处理他们的记录。)这种方法有据可查。
如果您的邮件服务器不是唯一为其域发送邮件的服务器,那么 DKIM 和 DMARC 将会很困难。如果可能的话,可以让他们将_domainkey和_dmarc子域委托给您的邮件服务器。您需要配置适当的区域,但它们都可以使用相同的区域定义。
让他们将_domainkey子域名 CNAME 到您的子域名,这样也许可以处理 DKIM。您需要使用他们的域名和您的密钥进行签名。如果客户端使用其他服务器发送邮件,情况会变得更加棘手。您可能需要让他们发布您的公钥或提供密钥供您使用。
让他们将子域名 CNAME 到您的域名,这样可以处理 DMARC _dmarc。这将导致您的策略应用于您的域。您还将获得所有报告。或者,您可以为他们提供帮助,帮助他们设置自己的策略。