Я запускаю веб-службу, которая должна иметь возможность отправлять электронные письма, используя адрес компании, например foo@company.com. Однако я не хочу предоставлять этой службе доступ к почтовому серверу company.com (по соображениям безопасности) и вместо этого хотите отправлять электронные письма с другого сервера (например, foo.com)
Насколько я понимаю, я могу добиться этого, добавив записи SPF / DKIM в конфигурацию DNS company.com, упоминая foo.com в качестве действительного домена для отправки электронной почты как ..... @ company.com.
Потенциальная проблема, которую я вижу в этом (насколько я понимаю DKIM / SPF), заключается в том, что если мой foo.com почтовый сервер будет взломан, он сможет отправлять проверенные электронные письма на все адреса в ........ @ company.com домен (например, из ceo@company.com), что, конечно, неприемлемо.
Мой вопрос:
Есть ли способ указать записи SPF / DKIM таким образом, чтобы только один адрес электронной почты (foo@company.com) разрешено отправлять почту через foo.com?
Я читал, что DKIM поддерживает селекторы что могло бы соответствовать этой задаче, но я не смог найти никакой информации о том, какие типы селекторов принимаются / понимаются почтовыми серверами, поэтому я не уверен, что это будет правильная стратегия для реализации этого.
Конечно, я также открыт для альтернативных решений, чтобы убедиться, что мой сервис может отправлять проверенные электронные письма как foo@company.com при этом не имея возможности выдавать себя за любую другую учетную запись электронной почты в случае ее взлома.
Невозможно указать индивидуальный адрес электронной почты с помощью DKIM или SPF.
Рекомендуемые решения:
В любом случае убедитесь, что адрес отправителя является подходящим.
Давайте разберемся с этим немного дальше. Я могу отправлять электронные письма с адреса ceo@yourcompany.com, все, что будет происходить в зависимости от ваших настроек SPF, - это либо «Fail it», «Softfail It», либо рассматривать его как «нейтральное» письмо на основе вашего SPF. Установка из -all,~all, ?all. Я по-прежнему отправлял письмо с именем ceo@yourcompany.com, оно могло попасть во входящие, могло попасть в папку спама. Это действительно зависит от фильтра почтового сервера получателя.
Поскольку это не решило проблему, они придумали DMARC этот стандарт, когда он применяется принимающим почтовым сервером, фактически отклоняет электронное письмо, если и SPF Record, и DKIM не срабатывают, и отправляют вам отчет, когда это происходит. Это ваша единственная настоящая защита.
Предположим, вы настроили DMARC, потому что без него ваш веб-сервис ничем не отличается от того, как я отправляю электронные письма, притворяясь вами.
Затем вы можете добавить запись SPF, чтобы ваша веб-служба могла отправлять электронную почту.
Теперь вы обеспокоены тем, что ваш веб-сервис может быть взломан, но чем он отличается от взлома основного почтового сервера вашей компании? Если они взломают ваш веб-сервис, что им помешает взломать ваши записи DNS и изменить SPF?
Я все о снижении рисков, но на самом деле, если он проверен на уязвимости, вы следуете всем протоколам для защиты веб-службы. Думаю, ваши шансы попасть в цель будут низкими.