DMARC -spf и DKIM записывают запросы

Question

DMARC -spf и DKIM записывают запросы

У меня есть сценарий со сторонними поставщиками... У нашей компании есть много сторонних почтовых сервисов. Я установил dmarc с p - none, и записи SPF были обновлены известными серверами отправки. Не могли бы вы уточнить заявление, которое я прочитал на сайте Dmarc.org, о том, как сделать сторонних поставщиков Dmarc совместимыми. 1. Либо добавьте сторонние серверы-отправители в наши spf-записи 2. Или поделитесь с ними своим секретным ключом DKIM

Мой вопрос заключается в том, что SPF проверяет наличие конверта с адреса, поэтому, когда поставщик отправляет письма от нашего имени, адрес отправителя будет являться адресом нашей компании (например, abc@companyname.com), а конверт с будет адресом поставщика (например,, abc@vendorname.com). Так как же тогда пройдет SPF? SPF проверит днс сервер конверта с? Правильно ли мое понимание?

Во-вторых, DKIM проверяет с адреса или конверт с адреса? Как это работает, когда мы передаем закрытый ключ нашему поставщику.

7

spf dkim dmarc

Источник

user5032724 21 июн '15 в 07:14

1 ответ

Другие вопросы по тегам spf dkim dmarc

user3961852 22 июн '15 в 12:37 2015-06-22 12:37 · Answer 1 · 2015-06-22 12:37

SPF: вы правы, поставщику потребуется изменить конверт с адреса, чтобы он соответствовал вашей организационной сфере. Некоторые будут делать это очень легко, другие - трудно, а некоторые вообще не будут менять конверт. Одна важная вещь, которую нужно помнить, когда у вас есть сторонние изменения их конвертов, - это то, что в большинстве случаев это изменение будет слепить их к отказов - третьим сторонам нужны отказов для гигиены списка и т. Д. - что является проблемой. Чтобы избежать этого, попросите их использовать поддомен домена вашей организации и настроить там MX. Например, если вы - companyname.com, а ваша третья сторона - vendorname.com, они должны использовать конверт от vendor-bounces.company.com, а затем настроить запись MX обратно на vendorname.com для отказов поставщиков. company.com решит проблему согласованным образом.

DKIM: DKIM сам не проверяет ни адрес. Если вы посмотрите на подпись DKIM, вы увидите, например, d=gmail.com. Этот домен используется для получения открытого ключа для проверки сообщения. У самого DKIM такого требования нет, но DMARC требует, чтобы домен d = в подписи DKIM совпадал с доменом организации в заголовке from. Это выравнивание идентификатора, как описано в Разделе 3.1 RFC 7489. ( https://tools.ietf.org/html/rfc7489) На практическом уровне вы должны опубликовать открытый ключ в вашем пространстве имен DNS, и подписывающее третье лицо должно использовать закрытый ключ оператора для подписи сообщения. Публикуя pubkey в определенном пространстве имен DNS, скажем, как selector._domainkey.companyname.com, вы разрешаете любому владельцу закрытого ключа, например vendorname.com, отправлять электронную почту с аутентификацией DMARC для companyname.com.

Одно замечание: DMARC всегда использует заголовок from, то есть то, что видит пользователь, в качестве домена записи. Для выравнивания идентификатора требуется, чтобы то, что было аутентифицировано отдельными протоколами аутентификации, такими как SPF или DKIM - конверт из и d = домен соответственно - для выравнивания (в основном совпадения) с доменом в заголовке from.

Это помогает?