Сообщения, отправляемые моим доменом, всегда будут подписаны DKIM, и все сообщения, которые не подписаны, должны быть немедленно отклонены получателями. Но строгое соблюдение SPF приводит к проблемам, когда внутренние правила пересылки почты и другие детали реализации вызывают ложные сбои. Какое созвездие записей SPF, DKIM и DMARC является подходящим, чтобы принимающие системы воспринимали сбои DKIM как абсолютную «остановку доставки, это точно спам», а SPF как подсказку?
DMARC проходит по дизайну, если либо DKIM, либо SPF является выровнен то есть соответствие с From
заголовок. Известно, что выравнивание DKIM выдерживает пересылку, тогда как выравнивание SPF - нет: служба, пересылающая почту, должна помещать почту в другой конверт, т. Е. Использовать MAIl FROM
(Return-Path
) собственный адрес, что нарушит выравнивание, несмотря на то, что SPF передается сам по себе.
По поводу конфигурации:
From
заголовок. Не существует такой вещи, как аппаратный / программный сбой DKIM, поскольку тест DKIM просто сравнивает подпись с опубликованным открытым ключом из DNS. p=reject
в вашей политике DMARC.From
заголовок. Было бы нормально иметь, например, ~all
чтобы предотвратить серьезные сбои в SPF, оставив ваш домен конверта частично незащищенным. Поскольку DMARC требует, чтобы SPF прошел и был выровнен, он не будет работать на SPF. softfail, но это не имеет значения, если оно выровнено через DKIM.Если вы хотите быть абсолютно строгими с DKIM, имейте в виду, что только выровненный и проходящий SPF также позволит пройти DMARC. Если вы хотите, чтобы DMARC всегда выходил из строя без DKIM, вы можете использовать другой домен в качестве отправителя конверта и иметь v=spf1 -all
Политика SPF, запрещающая использование этого домена в качестве отправителя конверта. Однако это не типичная конфигурация и может выглядеть хуже с некоторыми фильтрами спама.