我们公司拥有该域名somecompany.com
,并使用外部电子邮件提供商emailemailprovider.com
发送电子邮件。电子邮件提供商建议委托一个子域名,以便他们自动处理 SPF / DKIM / 等电子邮件身份验证机制。因此,我们在 DNS 区域中添加了以下内容:
em.somecompany.com NS ns1.emailemailprovider.com
em.somecompany.com NS ns2.emailemailprovider.com
从那时起,我们就可以通过他们的 API 发送电子邮件,而不会落入收件人的垃圾邮件文件夹中,并将标题设置From
为任何地址,例如[email protected]
,[email protected]
或者[email protected]
。请注意,在这 3 种情况下,Return-Path
标头域仍然存在。em.somecompany.com
我知道如何[email protected]
通过我们的设置进行身份验证,但我不明白为什么收件人认为其他 2 个发件人地址有效。
Return-Path
我模糊地理解了header 和header之间的区别From
,但是如果公司的子域名不是由同一个实体拥有和管理的,这不会导致严重的身份验证缺陷吗?
答案1
你的问题的关键在于问题的这个部分:
SPF、DKIM、ETC. 电子邮件认证机制。
这ETC。实际上称为 DMARC。稍后会详细介绍。
防晒指数
正如您所提到的,SPF 仅验证退回地址,又称返回路径。通过为所有发送的电子邮件保留相同的退回地址,电子邮件始终会通过 SPF。此退回地址用于由您的电子邮件提供商执行退回处理。此外,他们现在可以管理您委托的此子域的 SPF 记录。
密钥管理信息系统
由于您通过 NS 记录委派了子域,因此电子邮件提供商现在也可以在区域中创建 DKIM 选择器记录。因此,现在他们可以从DKIM 签名中的标签中使用的_domainkey.em.somecompany.com
域为您签名邮件。em.somecompany.com
d=
DMARC
其实是验证发件人地址域的标准方法,它结合了 SPF 和 DKIM。它要求其中一种机制通过检查和与发件人地址中使用的域对齐。有两种可能的对齐方式。要么
- 严格的- 用于 SPF 或 DKIM 的域必须与 FROM 地址中的域完全相同,或者;
- 轻松- 用于 SPF 或 DKIM 的域必须与 FROM 地址中使用的组织域相同。
aspf
SPF 和 DKIM 的这些对齐模式分别由和标签控制adkim
。当从 DMARC 策略记录中省略这些标签时,它们默认为宽松模式。
必须为每个需要防范欺骗的域配置 DMARC 记录。DNS 记录至少TXT
应包含版本和策略标签,例如“v=DMARC1;p=reject;”
这DMARC 的 RFC 在第 6.3 节中解释了所有标签。
请记住,如果子域中没有 DMARC 记录,接收服务器将查找 FROM 地址中使用的组织域的 DMARC 记录。
_dmarc.em.somecompany.com
您可以检查(记录)中是否有子域特定的 DMARC 记录,TXT
并根据那里的配置设置您自己的记录。
答案2
收件人不认为这些邮件有效或无效。它们只是被视为可能是/可能不是垃圾邮件,因为没有相关的 SPF 记录来表明不是垃圾邮件。电子邮件的内容可能会被评估并且不被视为垃圾邮件,因此会被发送。
我认为问题的核心可能是错误地假设电子邮件需要 SPF/DKIM。其实不是——尽管拥有它可以提高发送率。