使用子域委派进行电子邮件 FROM 标头身份验证

使用子域委派进行电子邮件 FROM 标头身份验证

我们公司拥有该域名somecompany.com,并使用外部电子邮件提供商emailemailprovider.com发送电子邮件。电子邮件提供商建议委托一个子域名,以便他们自动处理 SPF / DKIM / 等电子邮件身份验证机制。因此,我们在 DNS 区域中添加了以下内容:

em.somecompany.com NS ns1.emailemailprovider.com
em.somecompany.com NS ns2.emailemailprovider.com

从那时起,我们就可以通过他们的 API 发送电子邮件,而不会落入收件人的垃圾邮件文件夹中,并将标题设置From为任何地址,例如[email protected][email protected]或者[email protected]。请注意,在这 3 种情况下,Return-Path标头域仍然存在。em.somecompany.com

我知道如何[email protected]通过我们的设置进行身份验证,但我不明白为什么收件人认为其他 2 个发件人地址有效。

Return-Path我模糊地理解了header 和header之间的区别From,但是如果公司的子域名不是由同一个实体拥有和管理的,这不会导致严重的身份验证缺陷吗?

答案1

你的问题的关键在于问题的这个部分:

SPF、DKIM、ETC. 电子邮件认证机制。

ETC。实际上称为 DMARC。稍后会详细介绍。

防晒指数

正如您所提到的,SPF 仅验证退回地址,又称返回路径。通过为所有发送的电子邮件保留相同的退回地址,电子邮件始终会通过 SPF。此退回地址用于由您的电子邮件提供商执行退回处理。此外,他们现在可以管理您委托的此子域的 SPF 记录。

密钥管理信息系统

由于您通过 NS 记录委派了子域,因此电子邮件提供商现在也可以在区域中创建 DKIM 选择器记录。因此,现在他们可以从DKIM 签名中的标签中使用的_domainkey.em.somecompany.com域为您签名邮件。em.somecompany.comd=

DMARC

其实验证发件人地址域的标准方法,它结合了 SPF 和 DKIM。它要求其中一种机制通过检查与发件人地址中使用的域对齐。有两种可能的对齐方式。要么

  • 严格的- 用于 SPF 或 DKIM 的域必须与 FROM 地址中的域完全相同,或者;
  • 轻松- 用于 SPF 或 DKIM 的域必须与 FROM 地址中使用的组织域相同。

aspfSPF 和 DKIM 的这些对齐模式分别由和标签控制adkim。当从 DMARC 策略记录中省略这些标签时,它们默认为宽松模式。

必须为每个需要防范欺骗的域配置 DMARC 记录。DNS 记录至少TXT应包含版本和策略标签,例如“v=DMARC1;p=reject;”

DMARC 的 RFC 在第 6.3 节中解释了所有标签

请记住,如果子域中没有 DMARC 记录,接收服务器将查找 FROM 地址中使用的组织域的 DMARC 记录。

_dmarc.em.somecompany.com您可以检查(记录)中是否有子域特定的 DMARC 记录,TXT并根据那里的配置设置您自己的记录。

答案2

收件人不认为这些邮件有效或无效。它们只是被视为可能是/可能不是垃圾邮件,因为没有相关的 SPF 记录来表明不是垃圾邮件。电子邮件的内容可能会被评估并且不被视为垃圾邮件,因此会被发送。

我认为问题的核心可能是错误地假设电子邮件需要 SPF/DKIM。其实不是——尽管拥有它可以提高发送率。

相关内容