当一封邮件从发送服务器直接发送到接收服务器时,SPF和DKIM(如果设置正确的话)会正常地认证该邮件,并且通常会有效地验证它是合法的还是未经授权的。然而,如果电子邮件在传递给收件人之前经过一个中间邮件服务器,例如转发的邮件,情况就不是这样了。这篇博客旨在带你了解电子邮件转发对DMARC认证结果的影响。
正如我们已经知道的,DMARC利用两个标准的电子邮件认证协议,即SPF(发件人政策框架)和DKIM(域名识别邮件),来验证入站邮件。让我们简单地讨论一下,以便更好地了解它们的功能,然后再跳到转发会如何影响它们。
发件人政策框架
SPF以TXT记录的形式出现在你的DNS中,显示所有被授权从你的域名发送邮件的有效来源。每一封离开你的域名的电子邮件都有一个IP地址,用来识别你的服务器和你的域名所使用的电子邮件服务提供商,该地址在你的DNS中被列为SPF记录。接收者的邮件服务器根据你的SPF记录来验证邮件,并相应地将该邮件标记为SPF通过或失败。
域名密钥识别的邮件
DKIM是一个标准的电子邮件认证协议,它分配了一个加密签名,使用私钥创建,以验证接收服务器中的电子邮件,其中接收方可以从发件人的DNS中检索公钥来验证邮件。与SPF很相似,DKIM的公钥也作为TXT记录存在于域名所有者的DNS中。
邮件转发对你的DMARC认证结果的影响
在电子邮件转发过程中,电子邮件在最终被传递到接收服务器之前会经过一个中间服务器。首先,重要的是要认识到,电子邮件转发可以通过两种方式进行--可以手动转发电子邮件,这不会影响认证结果;也可以自动转发,在这种情况下,如果域名在其SPF中没有中间发送源的记录,认证程序就会受到影响。
当然,通常在邮件转发过程中,SPF检查会失败,因为中间服务器的IP地址与发送服务器的不一致,而这个新的IP地址通常不包括在原始服务器的SPF记录中。相反,转发邮件通常不会影响DKIM邮件认证,除非中介服务器或转发实体对邮件内容进行了某些改动。
请注意,要想让一封邮件通过DMARC认证,该邮件需要通过SPF或DKIM认证和调整。我们知道,在电子邮件转发过程中,SPF不可避免地会失败,如果发送源是DKIM中立的,只依靠SPF来验证,那么在DMARC认证过程中,转发的电子邮件将被视为非法的。
解决办法是什么?很简单。你应该立即在你的组织中选择全面的DMARC合规性,根据SPF和DKIM对所有入站邮件进行调整和认证。
用PowerDMARC实现DMARC合规性
值得注意的是,为了实现DMARC的合规性,电子邮件需要根据SPF或DKIM或两者进行验证。然而,除非转发的邮件得到DKIM的验证,而只依靠SPF的认证,否则DMARC将不可避免地失败,正如我们在上一节所讨论的那样。这就是为什么PowerDMARC能够帮助你实现完全的DMARC合规性,它能够有效地针对SPF和DKIM认证协议对邮件进行调整和认证。这样一来,即使真实的转发邮件无法通过SPF,DKIM签名也可以用来验证它的合法性,并且邮件通过了DMARC认证,随后落入收件人的收件箱。
例外情况。DKIM失败,如何解决?
在某些情况下,转发实体可能会通过调整MIME边界、实施反病毒程序或对邮件重新编码来改变邮件正文。在这种情况下,SPF和DKIM认证都会失败,合法的邮件也不会被送达。
如果SPF和DKIM都失败了,PowerDMARC能够识别并显示在我们详细的汇总视图中,像Authenticated Received Chain这样的协议可以被邮件服务器利用来验证这些邮件。在ARC中,认证结果头可以被传递到信息传递的下一 "跳 "中,以有效缓解电子邮件转发时的认证问题。
在转发邮件的情况下,当接收方的电子邮件服务器收到DMARC认证失败的邮件时,它会尝试第二次验证该邮件,对照所提供的认证接收链,通过提取最初一跳的ARC认证结果,以检查它在中介服务器将其转发到接收服务器之前是否被验证为合法。
因此,今天就注册PowerDMARC,并在你的组织中实现DMARC的合规性!
- 如何修复 "DNS记录类型99(SPF)已被废弃"?- 2023年3月9日
- SPF DKIM DMARC:电子邮件认证的基本要素- 2023年3月9日
- 什么是蛮力攻击,它是如何工作的?- 2023年3月9日
