Назад | Перейти на главную страницу

Какова подходящая конфигурация DMARC для домена, который должен терпеть неудачу при DKIM, но неэффективно на SPF

Сообщения, отправляемые моим доменом, всегда будут подписаны DKIM, и все сообщения, которые не подписаны, должны быть немедленно отклонены получателями. Но строгое соблюдение SPF приводит к проблемам, когда внутренние правила пересылки почты и другие детали реализации вызывают ложные сбои. Какое созвездие записей SPF, DKIM и DMARC является подходящим, чтобы принимающие системы воспринимали сбои DKIM как абсолютную «остановку доставки, это точно спам», а SPF как подсказку?

DMARC проходит по дизайну, если либо DKIM, либо SPF является выровнен то есть соответствие с From заголовок. Известно, что выравнивание DKIM выдерживает пересылку, тогда как выравнивание SPF - нет: служба, пересылающая почту, должна помещать почту в другой конверт, т. Е. Использовать MAIl FROM (Return-Path) собственный адрес, что нарушит выравнивание, несмотря на то, что SPF передается сам по себе.

По поводу конфигурации:

  • Подпишите каждое письмо с помощью DKIM, храните записи DKIM и следите за тем, чтобы подпись DKIM соответствовала From заголовок. Не существует такой вещи, как аппаратный / программный сбой DKIM, поскольку тест DKIM просто сравнивает подпись с опубликованным открытым ключом из DNS.
  • Если нет подписи, только DKIM не может определить, должна ли она быть или нет. Вот где вам понадобится DMARC: вы можете обеспечить соблюдение DKIM, имея p=reject в вашей политике DMARC.
  • Имея предыдущую настройку, SPF становится менее актуальным с точки зрения защиты From заголовок. Было бы нормально иметь, например, ~all чтобы предотвратить серьезные сбои в SPF, оставив ваш домен конверта частично незащищенным. Поскольку DMARC требует, чтобы SPF прошел и был выровнен, он не будет работать на SPF. softfail, но это не имеет значения, если оно выровнено через DKIM.

Если вы хотите быть абсолютно строгими с DKIM, имейте в виду, что только выровненный и проходящий SPF также позволит пройти DMARC. Если вы хотите, чтобы DMARC всегда выходил из строя без DKIM, вы можете использовать другой домен в качестве отправителя конверта и иметь v=spf1 -all Политика SPF, запрещающая использование этого домена в качестве отправителя конверта. Однако это не типичная конфигурация и может выглядеть хуже с некоторыми фильтрами спама.