SPF: вы правы, поставщику необходимо будет изменить конверт с адреса, чтобы выровнять его с вашим организационным доменом. Некоторые из них сделают это очень легко, другие трудны, а некоторые не изменят конверт вообще. Одна важная вещь, которую следует помнить, когда вы используете сторонний вариант конверта, - это то, что в большинстве случаев это изменение должно было бы ослепить их до отскоков - третья сторона нуждается в отскакивании для гигиены списка и т. Д., Что является проблемой. Чтобы избежать этого, попросите их использовать поддомен вашего организационного домена и настроить там MX. Например, если вы являетесь companyname.com, а ваша сторонняя сторона - vendorname.com, используя их, используйте конверт от vendor-bounces.company.com, а затем создайте запись MX обратно на vendorname.com для отказов поставщиков. company.com решит проблему в соответствие.
DKIM: DKIM сам не проверяет ни адрес. Если вы посмотрите на подпись DKIM, вы увидите d, равный d = gmail.com. Этот домен используется для получения открытого ключа для проверки сообщения. Сам DKIM не имеет такого требования, но DMARC требует, чтобы домен d = в сигнатуре DKIM соответствовал домену организации в заголовке from. Это выравнивание идентификатора, как описано в Разделе 3.1 RFC 7489. (https://tools.ietf.org/html/rfc7489#section-3.1) На практическом уровне вы должны публиковать открытый ключ в своем пространстве имен DNS, а подписавшая сторонняя сторона должна использовать закрытый личный ключ для подписывания сообщения. Публикуя pubkey в определенном пространстве имен DNS, например, как selector._domainkey.companyname.com, вы разрешаете любому владельцу частного ключа, например vendorname.com, отправлять электронную почту с подтверждением DMARC для companyname.com.
Одно примечание: сам DMARC всегда использует заголовок from, то есть то, что видит пользователь, как область записи. Затем выравнивание идентификатора требует того, что аутентифицируется отдельными протоколами аутентификации, такими как SPF или DKIM-конверт, и d = домен соответственно - для выравнивания (в основном совпадения) с доменом в заголовке from.
Помогло ли это?