验证对齐问题:为什么您的 SPF 和 DKIM 可能无法正常工作
SPF 和 DKIM 不对齐是导致电子邮件发送失败和 DMARC 不合规的主要原因。以下是对齐的工作原理和修复方法。
什么是 SPF 和 DKIM 对齐?
SPF 和 DKIM 是电子邮件验证协议,但要符合 DMARC 要求,仅仅通过是不够的,还必须 "对齐"。对齐是指 SPF 或 DKIM 验证的域名与收件人看到的可见 "发件人 "地址中的域名一致。
- SPF 对齐:返回路径(MailFrom)中的域名必须与 "发件人 "地址中的域名一致。对齐方式可以是 "严格"(完全匹配)或 "宽松"(相同的组织/根域)。
- DKIM 对齐:用于签署 DKIM 密钥的域必须与 "发件人 "地址的域相匹配。同样,这可以是 "严格 "或 "宽松"。
为什么对齐对 DMARC 至关重要
DMARC 要求 SPF 或 DKIM 中至少有一个既要通过验证,又要与 "发件人 "域对齐。如果不对齐,即使经过验证的电子邮件也可能无法通过 DMARC,导致邮件被拒收或发送到垃圾邮件中。
- 防止欺骗和网络钓鱼:确保只有经授权的发件人才能使用您的域名。
- 提高可送达性:经过校准的电子邮件被标记为垃圾邮件的可能性较小。
- 符合现代安全标准:谷歌和雅虎等主要提供商要求大量发送者进行对齐。
对齐故障的常见原因
- 域不匹配:返回路径或 DKIM 签名域与可见的 "发件人 "地址不同。这种情况常见于使用自己域名的第三方发件人(如 Mailchimp、SendGrid)。
- 转发问题:当邮件被转发时,SPF 经常会中断,因为转发者的服务器不在你的 SPF 记录中,从而导致对齐失败。
- 严格对齐模式:如果您的 DMARC 策略设置为严格对齐,即使是子域差异也会导致对齐失败。
- 多个 SPF 记录:一个域有多个 SPF 记录会导致验证错误和对齐失败。
- 配置错误的 DKIM:生成 DKIM 签名时,域必须与 "发件人 "地址匹配;否则,对齐会失败。
如何修复对齐问题
- 为您的域名配置 SPF 和 DKIM:确保所有发送服务在返回路径和 DKIM 签名中使用您的域名。
- 设置自定义返回路径:对于第三方服务,更新设置以使用与您的 "发件人 "域相匹配的返回路径。
- 选择正确的对齐模式:使用 "宽松 "对齐方式可提高灵活性,允许子域与根域匹配。
- 避免多个 SPF 记录:每个域只使用一个 SPF 记录,并将其保持在 10 个 DNS 查询限制以内。
- 使用 DMARC 报告进行监控:定期查看 DMARC 报告,以识别错位和验证失败。
- 与供应商协调:与第三方发件人合作,确保他们支持您的域的 SPF 和 DKIM 对齐。
持续对齐成功的最佳做法
- 定期审核所有发送源:确保所有平台和服务都经过正确验证。
- 使用 DMARC 监控工具:快速、主动地捕捉并解决错位问题。
- 教育团队:强调在 Return-Path 和 DKIM 签名中使用自己域名的重要性。
- 在执行前测试更改:在应用严格的策略之前,验证 SPF、DKIM 和 DMARC 配置。
请参阅我们的常见问题 "如何在 BIMI 实施前进行电子邮件身份验证审核",了解逐步准备指南。
对齐至关重要:SPF 和 DKIM 必须与您的 "发件人 "地址匹配,DMARC 才能通过。
第三方发件人:配置 Return-Path 和 DKIM,使用您的域名,而不是供应商的域名。
监控和调整:使用 DMARC 报告快速发现并修复对齐问题,以提高发送能力和安全性。