为什么 Amazon SES 在其当前实施中不需要修改 SPF？

Question

亚马逊当前的 SES 文档说：

如果您使用 Amazon SES 从您的域发送，您需要知道当前的 SES 实施涉及从 SES 拥有的 MAIL-FROM 域发送电子邮件。这意味着您无需对 DNS 记录进行任何更改即可让您的电子邮件通过 SPF 身份验证。

来源：http://sesblog.amazon.com/post/Tx3IREZBQXXL8O8/SPF-and-Amazon-SES

---

OpenSPF 是这样描述 SPF 的：

什么是 SPF？

SPF（在 RFC 4408 中定义）验证 HELO 域和作为 SMTP 协议（​​RFC 2821 - “信封”层）的一部分给出的 MAIL FROM 地址。如果您在电子邮件客户端中选择“显示所有标题”选项，则 MAIL FROM 地址通常显示为“返回路径”。域所有者通过 DNS 发布记录，这些记录描述了他们的策略，哪些机器被授权在 HELO 和 MAIL FROM 地址中使用他们的域，这些地址是 SMTP 协议的一部分。

来源：http://www.openspf.org/SPF_vs_Sender_ID

---

我不明白这两者是如何匹配的。

如果我当前的 SPF 记录如下所示：

v=spf1 mx a ~all

（而且亚马逊不在我的 MX 记录中。）

我想接收者会得到......

HELO abc.smtp-out.amazonses.com
MAIL FROM: <user@mydomain.com>

...然后接收者获取“mydomain.com”SPF TXT 记录并说，“嘿，abc.smtp-out.amazonses.com 不是已列出，因此 SPF=FAIL。"

我误会了什么？

---

附： Amazon SES 似乎曾经让您将“include:amazonses.com”添加到您的 SPF 记录中，这对我来说非常有意义。来源：How to know if the SPF config is working (Amazon SES/Route53)?

Answer 1

因此不涉及您引用的 SPF 记录，因为 Amazon SES 使用的 MAIL FROM 地址不是您域中的地址。

假设您收到一封通过 Amazon SES 发送的电子邮件，打开它并查看 Return-Path 地址。它将是某个亚马逊拥有的域中的地址（可能是amazonses.com，也可能是其他地址）。正是这个亚马逊拥有的域的 MX 和 SPF 记录分别用于确定退回邮件的接收 MTA 和授权邮件的 SPF 身份。

因此，此 Amazon 消息的接收者将永远不会检查“发件人”域 (mydomain.com) 的 SPF 记录，因此不需要将其添加到 mydomain.com 的 SPF 记录中。事实上，由于 SPF 中有 10 个域查找限制（在评估消息的 SPF 结果时，接收者只应该发出总共 10 个 DNS 请求），因此添加它可能有害。

验证 Amazon SES 始发电子邮件的正确方法是使用 Easy DKIM。这可确保电子邮件经过身份验证，并且身份验证使用与发件人相同的域。这样可以确保电子邮件可以通过 DMARC 进行身份验证