您在此处:
按 DKIM 密钥验证电子邮件发送域的所有权
确认 Salesforce 组织是用于发送出站电子邮件的域的合法所有者。
控件名称
电子邮件安全性 - 可送达性(选择“通过 DKIM 密钥验证电子邮件发送域的所有权”)。
控制概览
通过将域绑定到加密 DKIM 密钥,确认 Salesforce 组织是用于发送出站电子邮件的域的合法所有者,这有助于远程邮件服务器Trust消息真正来自贵公司。
描述
启用此设置后,Salesforce 会要求每个出站电子邮件域配置有效的 DKIM 密钥。Salesforce 会为每个域生成密钥,并在 DNS 区域中发布相应的 DNS 记录,以通过接收邮件服务器证明所有权并启用签名验证。
推荐配置
在“设置”>“电子邮件管理”>“可送达性”或“电子邮件安全性”中选择“通过 DKIM 密钥验证电子邮件发送域的所有权”,然后为每个发送域配置 DKIM 密钥并发布 DNS 记录。
安全影响
通过提供加密证明,证明消息是从授权的 Salesforce 支持的域发送的,从而降低攻击者欺骗这些域或合法电子邮件被标记为可疑的可能性,从而提高出站电子邮件的真实性。
业务影响
提高电子邮件的可送达性和发件人的声誉,降低出于安全意识或合规考虑的收件人将您的消息视为不可信消息的可能性,并支持品牌 Trust 和监管合规消息传递。
安全风险(如果未配置)
未经验证的组织的电子邮件发送域所有权允许攻击者更容易地冒充您的域,或者降低收件人区分真正的 Salesforce 发送的消息和欺骗的消息的能力。
威胁场景
攻击者可以制造似乎来自您的域的网络钓鱼或欺骗电子邮件,诱使收件人披露凭据,发起欺诈性交易,或将不受信任的消息视为合法的 Salesforce 通知。
估计的 CVSS 得分范围
高 (7.0–8.9)。
风险影响注意事项
当公司使用面向客户或品牌敏感的域(例如,@company.com或@support.company.com)发送高用量或高影响力的交易或营销电子邮件时,影响更大。
高风险
多个域用于出站电子邮件,外部各方严重依赖基于电子邮件的工作流,或者组织受到严格的数据隐私或反网络钓鱼监管期望的约束。
低风险
电子邮件量小,大多数出站电子邮件是内部电子邮件,或者已经通过单独、严格控制的电子邮件网关路由,或者发送域是通用的内部地址,仅供内部使用,不供外部使用。
业务和集成注意事项
与 DNS 和电子邮件管理员团队协调,管理密钥轮换和 DNS 记录维护,并在启用前验证是否覆盖所有有效发送域。
安全健康审查指导
强烈推荐。
谁受到影响
系统管理员、电子邮件营销和通信团队、安全和合规团队以及从基于 Salesforce 的发送域接收电子邮件的外部收件人。
