为组织设置 DMARC 策略时,SPF 对齐是否重要?
我了解到的情况是:
- 大多数电子邮件服务提供商都支持自定义域的 DKIM。
- 并非所有电子邮件服务提供商都支持自定义域的 SPF。通常,这些服务提供商会为自己的域设置通过 SPF 记录,但这与发件人地址不一致。
- 使用 SPF 时很容易遇到 DNS 查找限制。使用 DKIM 时则不会出现这种情况。
- 一些“转发的电子邮件”(例如通过邮件列表发送的邮件)经常会出现 SPF 失败的情况,但仍会通过 DKIM。其他邮件会完全重写发件人字段以避免出现 DMARC 问题。
鉴于上述情况,是否有充分的理由进行 SPF 对齐?或者 DKIM 对齐 + DMARC 策略是否始终足够?
注意:我并不是建议完全不为自定义域设置 SPF 策略。只是使用外部服务提供商的域作为 Return-Path,而不是自定义域,因此没有 SPF 对齐。
因此在这种情况下我们会有:
From: [email protected]
Return-Path: [email protected] (not aligned)
DKIM-Signature: d=my-domain.net (aligned)
Received from: IP belonging to service-provider.net, passing SPF for service-provider.net.
答案1
确实,对于 DMARC,DKIM 或 SPF 对齐就足够了,而且 DKIM 更强大,因为它能更好地经受住转发。然而,重要的是要明白,尽管三者协同工作并相互依赖,但它们本质上保护的是电子邮件真实性的不同部分:
- SPF 保护您的域名,用作信封发件人
- DKIM 保护内容(签名的标头和正文)免遭篡改
- DMARC(辅助 SPF、DKIM 或两者)在
From标头中保护您的域。
SPF 仍然有用:
- 如果您没有限制 SPF 策略,您的域名可能会被滥用为信封发件人。在同一垃圾邮件中滥用来自不同域名的不同弱点是很常见的:未受 SPF 保护的域名被用于伪造仅受 SPF 保护的域名的邮件。
- SPF+DMARC 对齐对于尚不支持 DKIM 但仍需要从您的域发送电子邮件的服务很有帮助。
- 如果您已设置 SPF 并已使用 DKIM+DMARC 对齐,则没有理由故意使用未对齐的域作为信封发件人,除非第三方有限制。虽然不常见,但偶尔 DKIM 也会失败,如果内容被修改,例如由于某些配置错误。额外的 SPF+DMARC 对齐可能有助于此类消息存活。
此外,并非每个接收 MTA 都会按照 DMARC 规范中所述对待 DMARC 策略(非标准、信息性RFC 7489)。 许多,包括微软,没有p=reject像预期的那样尊重(每第10.3节) IE连接阶段拒绝或者默默丢弃邮件,但将结果用作更复杂的垃圾邮件评分系统的一部分。在这种情况下,同时进行这两种对齐可能会让您的邮件在他们眼中享有更好的声誉。