какова подходящая конфигурация DMARC для домена, который должен приводить к резкому отказу DKIM, но отказу от SPF

DMARC проходит по дизайну, если либо DKIM, либо SPF выровнены , т. Е. Совпадают с заголовком From . Известно, что выравнивание DKIM выдерживает пересылку, тогда как выравнивание SPF - нет: служба, пересылающая почту, должна помещать почту в другой конверт, т.е. использовать адрес MAIl FROM ( Return-Path ). самостоятельно, что нарушит согласованность, несмотря на то, что SPF был принят сам по себе.

Относительно конфигурации:

• Подпишите каждое письмо с помощью DKIM, сохраните записи DKIM и следите за тем, чтобы подпись DKIM соответствовала заголовку From . Не существует такой вещи, как аппаратный / программный сбой DKIM, поскольку тест DKIM просто сравнивает подпись с опубликованным открытым ключом из DNS.
• Если нет подписи, только DKIM не может определить, должна ли она быть или нет. Вот где вам понадобится DMARC: вы можете принудительно применить DKIM, указав p = reject в своей политике DMARC.
• При наличии предыдущей настройки SPF становится менее актуальным с точки зрения защиты заголовка From . Было бы нормально иметь, например, ~ all для предотвращения серьезных сбоев в SPF, оставляя ваш домен конверта частично незащищенным. Поскольку DMARC требует, чтобы SPF прошел и был выровнен, он не будет работать при программном сбое SPF , но это не имеет значения, если оно выровнено через DKIM.

Если вы хотите быть абсолютно строгим с DKIM , имейте в виду, что только выровненный и проходящий SPF также заставит пройти DMARC.Если вы хотите, чтобы DMARC всегда выходил из строя без DKIM, вы можете использовать другой домен в качестве отправителя конверта и иметь политику SPF v = spf1 -all , чтобы полностью запретить использование этого домена в качестве отправителя конверта. Однако это не типичная конфигурация и может выглядеть хуже с некоторыми фильтрами спама.