如果 Salesforce 用户希望将电子邮件安全性提升到新的水平,长期提高电子邮件的可送达性,并在到达Google 和 Yahoo收件箱时不会被拦截,那么这篇文章就是为您准备的!为了进一步提高电子邮件通信的安全性,Salesforce 支持电子邮件验证协议,如 DMARC、SPF 和 DKIM.如果您希望保护您的域免受基于电子邮件的攻击,并减少对您电子邮件的垃圾邮件投诉,那么实施这些验证协议是必不可少的。在 Salesforce 账户中设置这些协议有助于验证您的电子邮件是否真实可信。
发件人策略框架(SPF)可确保只有经授权的服务器才能代表您的域名发送电子邮件,而域名密钥识别邮件(DKIM)则使用加密密钥来验证您的电子邮件是否被篡改。SPF 和 DKIM 可与 DMARC(基于域的信息验证、报告和一致性)结合使用,以开始防止欺骗和网络钓鱼攻击。
本文将介绍如何在 Salesforce 账户中添加 SPF、DKIM 和 DMARC 记录。让我们直接进入正题!
如何为 Salesforce 添加 SPF 记录
设置 SPF记录是必不可少的,因为 Salesforce 提供了专用的 SPF 记录,可确保从您的账户发送的电子邮件通过安全检查。
在下面找到将 Salesforce 添加到 SPF 记录的说明。
1.包含 Salesforce 的 SPF 条目
在域名的 SPF 记录中包含特定的 SPF 条目,以便从 Salesforce 发送电子邮件:
_spf.salesforce.com
用于 Salesforce 的 SPF 记录示例
Salesforce 的 SPF 记录示例可能如下所示:
v=spf1 mx include:_spf.salesforce.com ~all
这是最简单的 SPF 记录。它指定允许您的域通过 Salesforce 发送电子邮件。您还可以配置多个 "包含 "机制,授权其他第三方域代表您发送电子邮件。重要的是在同一 SPF 记录中授权这些来源,而不是为同一域创建新记录。
2.创建 SPF 记录
要创建无差错的 SPF 记录,我们建议使用 SPF 记录生成器工具.
3.测试和验证 SPF 记录
设置 SPF 记录后,必须对其进行测试,以确保功能正常。一个 SPF 检查工具可用于帮助验证记录。
下面介绍如何使用该工具:
- 首先,打开 SPF 查询工具。
- 输入你的域名。
- 点击 "查询 "按钮。
如果 SPF 记录正确,您将获得 "有效 "状态。
其他资源
有关详细信息,请查看 Salesforce 的 SPF 设置指南.
如何为 Salesforce 添加 DKIM 记录
以下是在 Salesforce 中创建 DKIM 密钥的说明。
1.导航至 DKIM 设置
在 Salesforce 设置中,找到快速查找框。输入 "DKIM 密钥 "并选择该选项。
2.创建新的 DKIM 密钥
选择 "DKIM 密钥 "后,单击 "创建新密钥"。这将创建默认处于非活动状态的 DKIM 密钥对。
选择 RSA 密钥大小
根据企业要求选择 RSA 密钥大小。选择密钥前,请考虑电子邮件收件人的限制。此外,还要注意安全规定。
3.输入选择器名称
您的 DKIM 选择器是识别您的 DKIM 密钥的唯一标识符。请输入一个唯一的名称,以便将此密钥与其他密钥区分开来。
4.设置备用选择器
备用选择器允许 Salesforce 自动旋转 DKIM 密钥,以增强安全性。
5.输入域名
然后,您需要指定一个域名。该域名用于从 Salesforce 账户发送电子邮件。域名一旦设置,就不能更改。
6.定义域匹配模式
您还可以控制 Salesforce 何时使用 DKIM 密钥签署电子邮件。这可以通过域匹配模式来实现。您需要使用逗号分隔的模式列表。
7.保存更改
完成上述所有步骤后,保存更改。然后,Salesforce 就会在您的 DNS 上发布 DKIM 密钥的 TXT 记录。
8.在 DNS 中添加 CNAME 记录
在域名上激活 DKIM 密钥之前,将 CNAME 和备用 CNAME 记录添加到域名的 DNS 中。
9.等待 DNS 发布
DNS 记录的发布需要几天时间。DNS 传播时间结束后,CNAME 和备用 CNAME 记录将显示在 DKIM 密钥详细信息页面上。
10.激活 DKIM 密钥
发布记录后,返回 DKIM 密钥详细信息页面。激活 DKIM 密钥。
注意:Salesforce 会在 30 天后轮换密钥。因此,一旦激活密钥,您的二级非活动密钥将自动生成。
如何为 Salesforce 设置 DMARC
DMARC指示收件人服务器如何处理 SPF 和 DKIM 身份验证检查失败的电子邮件。请注意,Salesforce 无法提供 DMARC 身份验证,因此建议与 PowerDMARC 等外部供应商合作配置该协议。
要防止出现任何配置问题,必须正确实施 DMARC。以下是如何为 Salesforce 添加DMARC 记录的说明。
1.选择 DMARC 版本
DMARC 的标准版本是版本 1,如下所示:v=DMARC1
2.选择 DMARC 策略
有三种 DMARC 政策规定了收件人服务器应如何处理未通过身份验证检查的电子邮件。
-
p=none
这是第一个要激活的策略。使用该策略后,即使电子邮件未能通过 SPF 和 DKIM 检查,也能通过 DMARC 身份验证。初始设置 DMARC 时必须使用此策略。
-
p=检疫
该策略会隔离 SPF 和 DKIM 验证失败的电子邮件。它会将邮件标记为垃圾邮件,以提醒用户注意可疑邮件。
-
p=拒绝
顾名思义,该策略拒绝验证失败的电子邮件。它通常是实施 DMARC 后要实现的最后一个目标。
3.选择 SPF 和 DKIM 对齐模式(可选)
以下是 SPF 策略如何与 DMARC 配合使用的详细说明:
- aspf=s
严格的 SPF 对齐模式要求 "返回路径"(信封发件人)中的域与 "发件人 "标头中的域完全匹配。
- aspf=r
即使 "返回路径 "域(信封发件人)和 "发件人 "标头域是组织匹配和组织匹配,而不是完全匹配,SPF 宽松对齐模式也允许通过。
- adkim=s
DKIM 签名(DKIM 标头中的 d= 标记)中的域名必须与 "发件人 "地址中的域名完全一致。
- adkim=r
在宽松模式下,DKIM 签名中的域可以与 "发件人 "地址中的域相同或共享相同的顶级域。
4.指定百分比标签(可选)
这指定了需要遵守DMARC 政策的电子邮件的百分比。pct=100 表示定义的策略将应用于 100% 的电子邮件。在设置 DMARC 时,可以从较低的百分比开始。定期监控后,可以提高这一百分比。
5.启用 DMARC 报告(可选但建议使用)
汇总报告
DMARC 汇总报告提供了有关电子邮件验证结果的宝贵数据。接收汇总报告需要设置 RUA 标签。汇总报告每天或每周接收一次,采用 XML 格式,不包含 PII(个人身份信息)。
报告提供发送 IP 地址、电子邮件计数、SPF/DKIM 标识符和结果等信息。DMARC 记录将 rua 标记指向域名所有者指定的电子邮件,以便接收汇总报告。下面是一个示例:
法证报告
DMARC 取证报告包括单个电子邮件的信息。它要求在 DMARC 记录中设置 RUF 标记。与每 24 小时收到一次的 DMARC 汇总报告不同,只要电子邮件未能通过 DMARC 验证,就会收到 DMARC 鉴证报告。取证报告为纯文本,可能包含敏感信息。
还需要注意的是,并非所有符合 DMARC 标准的邮箱提供商都支持生成 DMARC 取证报告。
-
定义生存时间 (TTL)
在初始配置 DMARC 时,可以设置 有效时间(TTL) 设置为 600 秒。这有助于加快传播速度。之后可以将 TTL 调整为 3600 秒,以减少 DNS 查询的频率,从而减轻 DNS 服务器的负载。
DMARC 生成器和工具
您可以使用 PowerDMARC 的自动 DMARC 记录生成工具来简化 DMARC 记录生成过程。PowerDMARC 提供各种可管理的 DMARC 解决方案,以及细粒度的监控和报告选项。这些高级选项的组合可以帮助您配置 DMARC 等技术协议,而不会造成麻烦或增加复杂性。
最后的话
实施电子邮件验证对于加强 Salesforce 电子邮件的安全性至关重要。保护您的域免受基于电子邮件的威胁取决于您。
使用 PowerDMARC 还可以更轻松地设置这些电子邮件验证协议。有关实施的详细信息,您可以 联系我们或开始 免费试用现在就开始!
- 市场上排名前 10 位的 DMARC 提供商- 2025 年 1 月 2 日
- 什么是安全测试?入门指南- 2024 年 12 月 20 日
- 十大 Valimail 替代品:全面比较优缺点- 2024 年 10 月 28 日