Записи DMARC -spf и DKIM

Question

У меня есть сценарий с сторонними поставщиками ... В нашей компании много сторонних почтовых служб. Я установил dmarc с p-none, и записи SPF были обновлены известными серверами-отправителями. Не могли бы вы прояснить заявление, которое я прочитал на сайте Dmarc.org, о том, чтобы сделать сторонних поставщиков Dmarc совместимыми. 1. Либо добавьте 3 участника отправки серверов в наших записях SPF 2. Или поделиться DKIM секретный ключ к ним

Мой вопрос, SPF проверяет конверт от адреса так, если поставщик отправляет письма от имени компании, с адреса будет адрес нашей компании (например, abc@companyname.com), а конверт - адрес поставщика (например, abc@vendorname.com). Итак, как пройдет SPF? SPF проверит сервер dns конверта? Правильно ли я понимаю?

Во-вторых, DKIM проверяет с адреса или конверта с адреса? Как это работает, когда мы передаем закрытый ключ нашему поставщику.

Answer 1

SPF: вы правы, поставщику необходимо будет изменить конверт с адреса, чтобы выровнять его с вашим организационным доменом. Некоторые из них сделают это очень легко, другие трудны, а некоторые не изменят конверт вообще. Одна важная вещь, которую следует помнить, когда вы используете сторонний вариант конверта, - это то, что в большинстве случаев это изменение должно было бы ослепить их до отскоков - третья сторона нуждается в отскакивании для гигиены списка и т. Д., Что является проблемой. Чтобы избежать этого, попросите их использовать поддомен вашего организационного домена и настроить там MX. Например, если вы являетесь companyname.com, а ваша сторонняя сторона - vendorname.com, используя их, используйте конверт от vendor-bounces.company.com, а затем создайте запись MX обратно на vendorname.com для отказов поставщиков. company.com решит проблему в соответствие.

DKIM: DKIM сам не проверяет ни адрес. Если вы посмотрите на подпись DKIM, вы увидите d, равный d = gmail.com. Этот домен используется для получения открытого ключа для проверки сообщения. Сам DKIM не имеет такого требования, но DMARC требует, чтобы домен d = в сигнатуре DKIM соответствовал домену организации в заголовке from. Это выравнивание идентификатора, как описано в Разделе 3.1 RFC 7489. (https://tools.ietf.org/html/rfc7489#section-3.1) На практическом уровне вы должны публиковать открытый ключ в своем пространстве имен DNS, а подписавшая сторонняя сторона должна использовать закрытый личный ключ для подписывания сообщения. Публикуя pubkey в определенном пространстве имен DNS, например, как selector._domainkey.companyname.com, вы разрешаете любому владельцу частного ключа, например vendorname.com, отправлять электронную почту с подтверждением DMARC для companyname.com.

Одно примечание: сам DMARC всегда использует заголовок from, то есть то, что видит пользователь, как область записи. Затем выравнивание идентификатора требует того, что аутентифицируется отдельными протоколами аутентификации, такими как SPF или DKIM-конверт, и d = домен соответственно - для выравнивания (в основном совпадения) с доменом в заголовке from.

Помогло ли это?