Сообщения, отправляемые моим доменом, всегда будут подписаны DKIM, и все сообщения, которые не были подписаны, должны быть немедленно отклонены получателями. Но строгое соблюдение SPF приводит к проблемам, когда внутренние правила пересылки почты и другие детали реализации вызывают ложные сбои. Какое созвездие записей SPF, DKIM и DMARC является подходящим для того, чтобы принимающие системы воспринимали сбои DKIM как абсолютную «остановку доставки, это спам точно», а SPF как подсказку?
DMARC проходит по дизайну, если либо DKIM, либо SPF выровнены , т. Е. Совпадают с заголовком From
. Известно, что выравнивание DKIM выдерживает пересылку, тогда как выравнивание SPF - нет: служба, пересылающая почту, должна помещать почту в другой конверт, т.е. использовать адрес MAIl FROM
( Return-Path
). самостоятельно, что нарушит согласованность, несмотря на то, что SPF был принят сам по себе.
Относительно конфигурации:
From
. Не существует такой вещи, как аппаратный / программный сбой DKIM, поскольку тест DKIM просто сравнивает подпись с опубликованным открытым ключом из DNS. p = reject
в своей политике DMARC. From
. Было бы нормально иметь, например, ~ all
для предотвращения серьезных сбоев в SPF, оставляя ваш домен конверта частично незащищенным. Поскольку DMARC требует, чтобы SPF прошел и был выровнен, он не будет работать при программном сбое SPF , но это не имеет значения, если оно выровнено через DKIM. Если вы хотите быть абсолютно строгим с DKIM , имейте в виду, что только выровненный и проходящий SPF также заставит пройти DMARC.Если вы хотите, чтобы DMARC всегда выходил из строя без DKIM, вы можете использовать другой домен в качестве отправителя конверта и иметь политику SPF v = spf1 -all
, чтобы полностью запретить использование этого домена в качестве отправителя конверта. Однако это не типичная конфигурация и может выглядеть хуже с некоторыми фильтрами спама.