我們的組織正在使用第三方雲端服務設定一個帳戶,該服務將代表我們發送電子郵件。我們的行銷部門希望消除一些客戶顯示的「通過」或「代表」位,以便電子郵件看起來像是直接來自我們。查看有關此主題的第三方幫助頁面,他們要求我們將 DKIM 記錄插入到他們伺服器的區域中。目前,我們為郵件伺服器實作了 SPF,但沒有實作 DKIM。
- 僅 DKIM TXT 記錄足以允許第三方代表我們的組織發送郵件(無需更新我們的 SPF 策略,或添加引用其伺服器的任何其他記錄)?
- 除了我們允許第三方從我們的網域發送合法電子郵件之外,插入此 DKIM 記錄是否會對我們系統的其餘部分(安全性或其他方面)產生任何影響?
答案1
如果您的 SPF 記錄不允許您的服務提供者的伺服器傳送郵件,則任何僅檢查 SPF 或同時檢查 SPF 和 DKIM 的收件者可能不會接受 SPF 失敗。
我認為服務提供者也會向您提供 SPFinclude指令或類似指令來處理此問題。不,不應該有。根據與其關聯的選擇器值來尋找 DKIM 金鑰;整個網域沒有通用的 DKIM 記錄,僅適用於 DKIM 簽章郵件中指定的特定選擇器。新增 DKIM 記錄不會影響未簽署的郵件或使用其他選擇器的金鑰簽署的郵件。
DKIM 記錄只能讓金鑰持有者以合理的確定性*表明他們發送的郵件已得到網域擁有者的批准。
*) 除非包含 DKIM 記錄的區域經過 DNSSEC 簽名,否則無法驗證記錄資料的真實性。基於在這種情況下取得的金鑰來驗證簽名顯然會相當大地限制實際證明的內容。