为什么 Amazon SES 在其当前实施中不需要修改 SPF?
Why does Amazon SES not require SPF modifications in their current implementation?
亚马逊当前的 SES 文档说:
If you are using Amazon SES to send from your domain, you need to know that the current SES implementation involves sending emails from an SES-owned MAIL-FROM domain. This means that you do not need to make any changes to your DNS records in order for your emails to pass SPF authentication.
来源:http://sesblog.amazon.com/post/Tx3IREZBQXXL8O8/SPF-and-Amazon-SES
OpenSPF 是这样描述 SPF 的:
What is SPF?
SPF (defined in RFC 4408) validates the HELO domain and the MAIL FROM address given as part of the SMTP protocol (RFC 2821 – the "envelope" layer). The MAIL FROM address is usually displayed as "Return-Path" if you select the "Show all headers" option in your e-mail client. Domain owners publish records via DNS that describe their policy for which machines are authorized to use their domain in the HELO and MAIL FROM addresses, which are part of the SMTP protocol.
来源:http://www.openspf.org/SPF_vs_Sender_ID
我不明白这两个是怎么搭配的。
如果我当前的 SPF 记录如下:
v=spf1 mx a ~all
(Amazon 不在我的 MX 记录中。)
我想接收者得到...
HELO abc.smtp-out.amazonses.com
MAIL FROM: <user@mydomain.com>
...然后接收方获取“mydomain.com”SPF TXT 记录并说,"Hey, abc.smtp-out.amazonses.com is not listed, therefore SPF=FAIL."
我误会了什么?
P.S。似乎 Amazon SES 曾经让您将 "include:amazonses.com" 添加到您的 SPF 记录,这对我来说非常有意义。资料来源:How to know if the SPF config is working (Amazon SES/Route53)?
因此不涉及您引用的 SPF 记录,因为 Amazon SES 使用的 MAIL FROM 地址不是您域中的地址。
假设您有一封通过 Amazon SES 发送的电子邮件,打开它并查看 Return-Path 地址。它将是某个 Amazon 拥有的域的地址(可能是 amazonses.com,也可能是其他域)。正是这个亚马逊拥有的域的 MX 和 SPF 记录分别用于确定退回消息的接收 MTA 和消息被授权的 SPF 身份。
因此,此 Amazon 邮件的接收者永远不会检查 'From' 域 (mydomain.com) 的 SPF 记录,因此不需要将其添加到 mydomain.com 的 SPF 记录中.事实上,添加它可能有害,因为 SPF 中的 10 个域查找限制(在评估邮件的 SPF 结果时,接收者总共只能发出 10 个 DNS 请求)。
验证 Amazon SES 原始电子邮件的正确方法是使用 Easy DKIM。这可确保电子邮件经过身份验证,并且身份验证使用与发件人相同的域。这确保电子邮件可以通过 DMARC
进行身份验证
亚马逊当前的 SES 文档说:
If you are using Amazon SES to send from your domain, you need to know that the current SES implementation involves sending emails from an SES-owned MAIL-FROM domain. This means that you do not need to make any changes to your DNS records in order for your emails to pass SPF authentication.
来源:http://sesblog.amazon.com/post/Tx3IREZBQXXL8O8/SPF-and-Amazon-SES
OpenSPF 是这样描述 SPF 的:
What is SPF?
SPF (defined in RFC 4408) validates the HELO domain and the MAIL FROM address given as part of the SMTP protocol (RFC 2821 – the "envelope" layer). The MAIL FROM address is usually displayed as "Return-Path" if you select the "Show all headers" option in your e-mail client. Domain owners publish records via DNS that describe their policy for which machines are authorized to use their domain in the HELO and MAIL FROM addresses, which are part of the SMTP protocol.
来源:http://www.openspf.org/SPF_vs_Sender_ID
我不明白这两个是怎么搭配的。
如果我当前的 SPF 记录如下:
v=spf1 mx a ~all
(Amazon 不在我的 MX 记录中。)
我想接收者得到...
HELO abc.smtp-out.amazonses.com
MAIL FROM: <user@mydomain.com>
...然后接收方获取“mydomain.com”SPF TXT 记录并说,"Hey, abc.smtp-out.amazonses.com is not listed, therefore SPF=FAIL."
我误会了什么?
P.S。似乎 Amazon SES 曾经让您将 "include:amazonses.com" 添加到您的 SPF 记录,这对我来说非常有意义。资料来源:How to know if the SPF config is working (Amazon SES/Route53)?
因此不涉及您引用的 SPF 记录,因为 Amazon SES 使用的 MAIL FROM 地址不是您域中的地址。
假设您有一封通过 Amazon SES 发送的电子邮件,打开它并查看 Return-Path 地址。它将是某个 Amazon 拥有的域的地址(可能是 amazonses.com,也可能是其他域)。正是这个亚马逊拥有的域的 MX 和 SPF 记录分别用于确定退回消息的接收 MTA 和消息被授权的 SPF 身份。
因此,此 Amazon 邮件的接收者永远不会检查 'From' 域 (mydomain.com) 的 SPF 记录,因此不需要将其添加到 mydomain.com 的 SPF 记录中.事实上,添加它可能有害,因为 SPF 中的 10 个域查找限制(在评估邮件的 SPF 结果时,接收者总共只能发出 10 个 DNS 请求)。
验证 Amazon SES 原始电子邮件的正确方法是使用 Easy DKIM。这可确保电子邮件经过身份验证,并且身份验证使用与发件人相同的域。这确保电子邮件可以通过 DMARC
进行身份验证