如果我为我的 gsuite 域启用 DKIM(mydomain.com)这会影响从[电子邮件保护]通过第三方发件人(如 Mailchimp/Freshdesk 等)?
我的理解是,为来自 gsuite 的电子邮件启用 DKIM 不会对第三方发件人(Mailchimp/Freshdesk)产生影响,因为这些发件人不会发送标题DKIM-Signature。
我只是想确保如果我为 gsuite 电子邮件启用 DKIM,它不会破坏我们通过 Mailchimp、Freshdesk 等发送的电子邮件。
前任:
为 gsuite 启用 DKIM是 DNS TXT 记录google._domainkey.mydomain.com
为 mailchimp 启用 DKIM是第二条 DNS 记录 (CNAME)k1._domainkey.mydomain.com
如果我为 gsuite 启用 DKIM,从 gmail 发送的电子邮件将添加DKIM-Signature指向google._domainkey记录(又名选择器)的标题。使用 mailchimp 发送的电子邮件[电子邮件保护]不会包含DKIM-Signature标题,但仍然可以使用。为了降低 mailchimp 发送的电子邮件被归为垃圾邮件的可能性,我可以为 mailchimp 启用 DKIM。
它是否正确?
我目前的 spf 记录:
mydomain.com. 3600 IN TXT "v=spf1 include:_spf.google.com -all"
mydomain.com. 3600 IN TXT "v=spf1 include:servers.mcsv.net ?all"
mydomain.com. 3600 IN TXT "v=spf1 a include:_spf.google.com ~all"
答案1
这只会在你使用时产生影响DMARC,我强烈推荐(尽管这是一个过程。从慢慢开始p=none,只有p=reject当您确信汇总报告不包含任何合法邮件时才迁移到)。
您列出了三种不同的 SPF 记录:
mydomain.com. 3600 IN TXT "v=spf1 include:_spf.google.com -all"
mydomain.com. 3600 IN TXT "v=spf1 include:servers.mcsv.net ?all"
mydomain.com. 3600 IN TXT "v=spf1 a include:_spf.google.com ~all"
你只能拥有一个!首先,解释一下SPF 限定符:
… -all– 来自不受此记录保护的主机的邮件应被拒绝… ?all– 来自不受此记录保护的主机的邮件完全是中性的(就好像您没有记录一样)… ~all– 来自不受此记录保护的主机的邮件应被怀疑为垃圾邮件
没有任何意义?all。您最好不要包含它。-all和之间没有有效区别~all,尽管它们最初分别被设计为“硬故障(阻止)”和“软故障(怀疑)”。这是因为没有反馈回路,因此管理员无法了解丢失的服务器。 DMARC 解决了这个问题,尽管 DMARC 也忽略了这三个。
DMARCp=reject表示如果两者都不SPF 和 DKIM 均未通过校准,则拒绝该邮件。如果您的域使用有效的 SPF 发送或者DKIM,您将通过 DMARC。如果您自己的主机使用有效 SPF(带对齐)发送,并且您通过 Mailchimp 使用 DKIM(带对齐),则一切就绪。
结盟?
DMARC 要求“结盟From",这意味着邮件头中的域必须与 SPF 或 DKIM 使用的域相匹配。
对齐可确保正确检测域名伪造*。如果您的 DKIM-Signature 标头已签名,d=gmail.com但您的发件人标头却显示[email protected]未对齐。DMARC 不知道 gmail.com 是否可以根据 DMARC 向 example.com 发送邮件(尽管如果有对齐的 SPF 记录,它可以通过)。
* DMARC 仅能防止精确域名匹配;的 DMARC 记录无助于gmail.com阻止发件人标头为 的邮件gmall.com!
建议
我的建议是,对您完全控制的主机使用 SPF 和/或 DKIM(只要您能控制全部邮件流经这些主机)并使用 DKIM 来共享主机,例如通过 Mailchimp。这样,您将拥有一种可靠的方式传递 DMARC(我强烈建议您设置),同时最大程度地降低攻击者滥用您的受保护邮件主机以您的名义发送邮件的风险。