【发布时间】:2021-02-19 15:38:42
【问题描述】:
SendGrid 的 automated security 通过 CNAME 记录自动执行 SPF 和 DKIM。它甚至允许直接使用域注册器将我们自己的 SPF 和 DKIM 记录放在适当的位置。
他们如何在不与现有 SPF 和 DKIM 记录串通而不是域的情况下做到这一点?
【问题讨论】:
【发布时间】:2021-02-19 15:38:42
【问题描述】:
推荐的答案
Twilio
为什么要使用自动化安全
通过使用 Sendgrid 提供的 CNAME 记录,您可以委托 Sendgrid 特定 SPF 和 DKIM 记录的所有权。每当他们需要进行更改(更新 SPF 列入白名单的主机名或轮换 DKIM 密钥)时,他们都可以做到,而无需您最终接触 DNS。
很方便。
以下是我对这两种记录的工作原理的理解。
DKIM
您可以拥有多个 DKIM 记录(公钥),只要它们使用不同的选择器(主机名)。
例如。您可能已经拥有 Google Workspace (G Suite) 的 DKIM 记录:
TXT google._domainkey.yourdomain.com "v=DKIM1; k=rsa; t=s; p=MIGM..."
设置 Sendgrid 自动安全时,他们将为您提供 2 个 CNAME,用于由他们管理的 DKIM。例如
CNAME s1._domainkey.yourdomain.com s1.domainkey.uXXX.wlXXX.sendgrid.net.
CNAME s2._domainkey.yourdomain.com s2.domainkey.uXXX.wlXXX.sendgrid.net.
选择器与 Google 的选择器不冲突,可以共存。
如果您对 CNAME 进行 DNS 查找,您将看到正确的 DKIM 公钥:
TXT s1._domainkey.yourdomain.com "v=DKIM1; k=rsa; t=s; p=MIGM..."
防晒系数
每个(子)域只能有一个 SPF TXT 记录。请注意,此类记录可以列出经过身份验证的多个 IP/主机名。使用 Sendgrid Automated Security,您可以为指向 SG 服务器的子域创建 CNAME。 SPF 记录托管在该子域下。
例如。您可能已经拥有 Google Workspace 的 SPF 记录:
TXT yourdomain.com "v=spf1 include:_spf.google.com ~all"
Sendgrid 将为您提供一个类似于此的 CNAME:
CNAME em0000.yourdomain.com u0000000.wX0X0.sendgrid.net.
它与您现有的 SPF 记录不冲突。
如果您对该 CNAME 进行 DNS 查找,您将找到一条 SPF 记录:
TXT em0000.yourdomain.com "v=spf1 include:sendgrid.net ~all"
【讨论】:
-
这基本上是 SendGrid 指令,但它没有回答问题。 em0000.yourdomain.com CNAME 如何与从 yourdomain.com 收到的电子邮件进行关联和检查?
-
这个答案解释了 SPF 在这种情况下是如何工作的 - 关键是 SPF 验证返回路径,而不是发件人域:stackoverflow.com/a/67174288/3474615