我运行一个Web服务,应该能够使用公司地址发送电子邮件,例如[email protected] 。 但是,我不想将这个服务访问到company.com的邮件服务器(出于安全原因),而是想从另一个服务器(例如foo.com )发送电子邮件,
我的理解是,我可以通过将SPF / DKIMlogging添加到company.com的DNSconfiguration来实现此目的,将foo.com作为发送电子邮件的有效域名作为….. @ company.com 。
我所看到的潜在的问题(据我所知DKIM / SPF)是,如果我的foo.com邮件服务器被黑客攻击,它将能够发送validation的电子邮件的所有地址……. 。@ company.com域名(例如,来自[email protected] ),这当然是不可接受的。
我的问题:
有没有办法指定SPF / DKIMlogging,只允许一个电子邮件地址( [email protected] )通过foo.com发送邮件?
我读过DKIM支持的select器 ,可能要完成这个任务,但是我找不到任何关于哪种types的select器被电子邮件服务器接受/理解的信息,所以我不确定这是否是正确的策略来实现这个。
当然,我也开放其他解决scheme,以确保我的服务能够发送validation电子邮件[email protected],而不能冒充任何其他电子邮件帐户,以防万一它被攻陷。
无法使用DKIM或SPF指定个人电子邮件地址。
推荐解决scheme
无论哪种情况,请确保发送地址是合适的地址。
让我们稍微分解一下。 我可以从[email protected]发送电子邮件,根据您的SPF设置发生的所有事情是,它将要么“失败”,“Softfail It”,要么根据您的SPF将其视为“中性”电子邮件设置-all , -all , ?all 。 我仍然以[email protected]的方式发送电子邮件,它可能会登陆收件箱,它可能会在垃圾邮件文件夹。 这真的取决于接收者的电子邮件服务器的filter。
由于这个问题没有解决,所以在接收邮件服务器强制执行时,他们提出了DMARC这个标准,如果SPF Record和DKIM都失败,实际上会拒绝这封邮件,并在这种情况发送给你一个报告。 这是你唯一真正的保护。
假设你设置DMARC,因为没有它,你的networking服务真的没有什么不同,所以我直接发送电子邮件假装你。
然后,您可以添加SPFlogging以允许您的Web服务发送电子邮件。
现在您担心您的Web服务遭到黑客入侵,但与您公司的主要电子邮件服务器遭到黑客入侵的方式有何不同呢? 如果他们侵入你的networking服务,什么阻止他们侵入你的DNSlogging和改变SPF?
我所有的事情都是为了减轻风险,但是实际上,如果它已经过漏洞testing,您可以按照所有协议来保护Web服务。 我认为你的机会是低的。