web-dev-qa-db-ja.com

SPFレコードがないか無効なドメインを持つ別のドメインでSMTPエンベロープFROMを使用して、SPF制限を回避できますか?

DMARCレコードを検討してください。

v = DMARC1; p = require; rua = mailto:xyz; ruf = mailto:xyz; adkim = s; aspf = s; pct = 100; fo = 1; sp = require

ドメインexample.comとTXTレコード:

v = spf1 include:_spf.google.com -all

ここで、サードパーティがFROM [email protected]を使用して、FROM [email protected]またはリターンパスが[email protected]のSMTPエンベロープを使用して電子メールを送信するとします。

私の理解では、受信者のSMTPサーバーはmail-sender.comのTXTレコードを使用してSPFを検証します。

Mail-sender.comのこのSPFレコードの場合:

  • 存在しません
  • 構文的に無効です
  • すべてのIPの送信を許可します

私の理解では、SPF TXT example.comのレコードは完全に無視され、「拒否」して厳密なSPFアライメントモードになっているDMARCレコードはnotは、これらのメッセージが正常に配信されるのを防ぎます(これらは非整列SPFパスと見なされると思います)。

基本的に、SPFとDMARCには、「example.comのTXTレコード」に明示的にリストされているIPからの電子メールのみが代理で送信を許可されている」と言うようなことはないと言うのは正しいですか?私のドメイン」。

1
David

DMARC準拠のメールを取得するために必要な「調整」が主に不足していると思います。これが、DMARCを既存の手法と区別するものです。

アラインメントとは、DMARCでは、「From」ドメインと同じ*ドメインを使用して認証(SPF/DKIM)を設定する必要があることを意味します。 SPFドメイン(Envelope From)とDKIMドメイン間の調整についておっしゃいましたが、これは当てはまりません。

あなたの例では、@ example.com'From 'ドメインと@ mail-sender.com'Return-Path'ドメインに配置がないため、メッセージはDMARCに準拠していません。この例では、SPFの「合格」が生成されますが、DMARCの「不合格」が生成されます。

SPFとDMARCに関する記述は、まさにDMARCの目的です。つまり、@ mail-sender.comドメインではなく問題の「From」ドメインを使用して認証が実際に行われるようにします。

これはあなたを助けますか?

よろしく、

ミシエル

DMARCアナライザー