考虑 DMARC 记录:
v=DMARC1;p=拒绝;rua=mailto:xyz;ruf=mailto:xyz;adkim=s;aspf=s;pct=100;fo=1;sp=拒绝
还请考虑example.com具有 TXT 记录的域:
v=spf1 包括:_spf.google.com -all
现在想象一下第三方使用 FROM 发送电子邮件,[email protected]方法是使用带有 FROM 的 SMTP 信封[email protected]或返回路径[email protected]。
我的理解是,现在收件人 SMTP 服务器将使用 TXT 记录来验证 SPF mail-sender.com。
如果 mail-sender.com 的此 SPF 记录符合以下任一情况:
- 不存在
- 语法无效
- 允许任何 IP 发送
我的理解是,SPF TXT 记录会example.com被完全忽略,而“拒绝”且处于严格 SPF 对齐模式的 DMARC 记录则会不是防止这些消息成功传递(我认为这些被视为非对齐的 SPF 传递)。
本质上,我说 SPF 和 DMARC 中没有这样的说法“只有来自 example.com 的 TXT 记录中明确列出的 IP 的电子邮件才被允许代表我的域名发送”,这是否正确?
答案1
我认为您主要忽略了获取符合 DMARC 要求的邮件所需的“对齐”。这就是 DMARC 与现有技术的区别所在。
对齐意味着 DMARC 要求您使用与“发件人”域相同的域来设置身份验证 (SPF/DKIM)。您提到了 SPF 域 (信封发件人) 和 DKIM 域之间的对齐,但这并不适用。
在您的示例中,由于 @example.com“发件人”域和 @mail-sender.com“返回路径”域不一致,因此邮件不符合 DMARC 标准。此示例将生成 SPF“通过”,但 DMARC“失败”。
关于 SPF 和 DMARC 的声明正是 DMARC 的目的:确保身份验证实际上是使用相关的“发件人”域而不是 @mail-sender.com 域完成的。
这对你有帮助吗?
问候,
米歇尔
DMARC 分析器