Eu gerencio um serviço da web que deve enviar e-mails usando um endereço da empresa, por exemplo, [email protected] . No entanto, não desejo dar a este serviço acesso ao servidor de correio de company.com (por motivos de segurança) e, em vez disso, quero enviar os e-mails de outro servidor (por exemplo, foo .com )
No meu entender, posso conseguir isso adicionando registros SPF / DKIM à configuração de DNS de company.com , mencionando foo.com como um domínio válido para envio e-mail como ..... @ company.com .
O problema potencial que eu vejo com isso (tanto quanto eu entendo DKIM / SPF) é que se o meu servidor de email foo.com for hackeado, ele poderá enviar e-mail validado para todos endereços no domínio ........ @ company.com (por exemplo, de [email protected] ), o que obviamente não é aceitável.
Minha pergunta:
Existe uma maneira de especificar os registros SPF / DKIM de modo que apenas um único endereço de e-mail ( [email protected] ) tenha permissão para enviar e-mails via foo .com ?
Eu li que o DKIM suporta seletores que podem estar à altura dessa tarefa, mas não consegui encontrar nenhuma informação sobre quais tipos de seletores são aceitos / compreendidos pelos servidores de e-mail, então estou Não tenho certeza se essa seria a estratégia correta para implementar isso.
É claro que também estou aberto a soluções alternativas para garantir que meu serviço possa enviar e-mails validados como [email protected] sem poder representar qualquer outro e-mail conta de e-mail caso seja comprometida.
Não há como especificar um endereço de e-mail individual com o DKIM ou o SPF.
Soluções recomendadas:
Em ambos os casos, verifique se o endereço de envio é um endereço adequado.
Vamos dividir isso um pouco mais. Eu posso enviar e-mails de [email protected], tudo o que vai acontecer com base na sua configuração de SPF é que ele vai ou "Fail it", "Softfail It", ou tratá-lo como um e-mail "Neutral" baseado no seu SPF Configuração de -all , ~all , ?all . Eu ainda enviei o e-mail como [email protected], ele pode pousar na caixa de entrada, pode pousar na pasta de spam. Isso realmente depende do filtro do servidor de e-mail da pessoa que recebe.
Como isso não resolveu o problema, eles criaram DMARC esse padrão quando impostos pelo recebimento de e-mails servidor, na verdade rejeitará o email se o SPF Record e o DKIM falharem e enviarem um relatório quando isso acontecer. Esta é sua única proteção verdadeira.
Assumindo que você configurou o DMARC, porque sem ele, seu serviço da web não é diferente, então eu estou enviando e-mails diretamente fingindo ser você.
Você pode adicionar o registro SPF para permitir que seu serviço da Web envie o email.
Agora, você está preocupado com a invasão do seu Serviço da Web, mas como isso é diferente do servidor de e-mail principal da sua empresa sendo invadido? Se eles hackear seu webservice, o que os impede de invadir seus registros DNS e alterar o SPF?
Tenho tudo a ver com a mitigação de riscos, mas, na verdade, se forem testados quanto a vulnerabilidades, você segue todos os protocolos para proteger um serviço da web. Eu acho que suas chances de ser alvo serão baixas.