当电子邮件从发送服务器直接发送到接收服务器时,SPF 和 DKIM(如果设置正确)会对电子邮件进行正常验证,并通常有效地确认其是否合法。但是,如果电子邮件在发送给收件人之前经过中间邮件服务器,例如转发邮件,情况就不是这样了。本博客旨在带您了解电子邮件转发对 DMARC 验证结果的影响。
正如我们已经知道的,DMARC利用两个标准的电子邮件认证协议,即SPF(发件人政策框架)和DKIM(域名识别邮件),来验证入站邮件。让我们简单地讨论一下,以便更好地了解它们的功能,然后再跳到转发会如何影响它们。
发件人政策框架
SPF以TXT记录的形式出现在你的DNS中,显示所有被授权从你的域名发送邮件的有效来源。每一封离开你的域名的电子邮件都有一个IP地址,用来识别你的服务器和你的域名所使用的电子邮件服务提供商,该地址在你的DNS中被列为SPF记录。接收者的邮件服务器根据你的SPF记录来验证邮件,并相应地将该邮件标记为SPF通过或失败。
域名密钥识别的邮件
DKIM是一个标准的电子邮件认证协议,它分配了一个加密签名,使用私钥创建,以验证接收服务器中的电子邮件,其中接收方可以从发件人的DNS中检索公钥来验证邮件。与SPF很相似,DKIM的公钥也作为TXT记录存在于域名所有者的DNS中。
邮件转发对你的DMARC认证结果的影响
在电子邮件转发过程中,电子邮件在最终被传递到接收服务器之前会经过一个中间服务器。首先,重要的是要认识到,电子邮件转发可以通过两种方式进行--可以手动转发电子邮件,这不会影响认证结果;也可以自动转发,在这种情况下,如果域名在其SPF中没有中间发送源的记录,认证程序就会受到影响。
当然,在电子邮件转发过程中,SPF 检查通常会失败,因为中间服务器的 IP 地址与发送服务器的 IP 地址不一致,而这个新的 IP 地址通常不会包含在原始服务器的 SPF 记录中。相反,转发电子邮件通常不会影响 DKIM 电子邮件验证,除非中间服务器或转发实体对邮件内容做了某些改动。
请注意,要想让一封邮件通过DMARC认证,该邮件需要通过SPF或DKIM认证和调整。我们知道,在电子邮件转发过程中,SPF不可避免地会失败,如果发送源是DKIM中立的,只依靠SPF来验证,那么在DMARC认证过程中,转发的电子邮件将被视为非法的。
解决办法是什么?很简单。你应该立即在你的组织中选择全面的DMARC合规性,根据SPF和DKIM对所有入站邮件进行调整和认证。
用PowerDMARC实现DMARC合规性
值得注意的是,要实现 DMARC 合规性,需要根据 SPF 或 DKIM 或两者对电子邮件进行验证。但是,除非转发的邮件根据 DKIM 进行验证,并且仅依靠 SPF 进行验证,否则 DMARC 将不可避免地失败,这一点在上一节中已经讨论过。这就是为什么 PowerDMARC 可以有效地根据 SPF 和 DKIM 身份验证协议调整和验证电子邮件,从而帮助您实现 DMARC 的完全合规性。这样,即使真实的转发邮件未能通过 SPF,也可以使用DKIM 签名将其验证为合法邮件,从而通过 DMARC 验证,随后进入收件人的收件箱。
例外情况。DKIM失败,如何解决?
在某些情况下,转发实体可能会通过调整MIME边界、实施反病毒程序或对邮件重新编码来改变邮件正文。在这种情况下,SPF和DKIM认证都会失败,合法的邮件也不会被送达。
如果 SPF 和DKIM 都失败了,PowerDMARC能够识别并在我们的详细汇总视图中显示出来,邮件服务器可以利用Authenticated Received Chain等协议来验证此类邮件。在 ARC 中,Authentication-Results(验证结果)标头可以传递到信息传递过程中的下一 "跳",从而有效缓解电子邮件转发过程中的验证问题。
在转发邮件的情况下,当接收方的电子邮件服务器收到DMARC认证失败的邮件时,它会尝试第二次验证该邮件,对照所提供的认证接收链,通过提取最初一跳的ARC认证结果,以检查它在中介服务器将其转发到接收服务器之前是否被验证为合法。
因此,今天就注册PowerDMARC,并在你的组织中实现DMARC的合规性!
- 2025 年起支付卡行业将强制执行 DMARC- 2025 年 1 月 12 日
- 国家计算机安全委员会邮件检查变化及其对英国公共部门电子邮件安全的影响- 2025 年 1 月 11 日
- DMARC aspf 标签解释指南- 2025 年 1 月 7 日