您位於此處:
透過 DKIM 金鑰驗證電子郵件傳送網域的擁有權
確認 Salesforce 組織是用於傳送輸出電子郵件之網域的合法擁有者。
控制名稱
電子郵件安全性 - 傳遞性 (選取「透過 DKIM 金鑰驗證電子郵件傳送網域的擁有權」)。
控制概觀
將這些網域繫結至加密 DKIM 金鑰,以確認 Salesforce 組織是用於傳送輸出電子郵件之網域的合法擁有者,這可協助遠端郵件伺服器 Trust 訊息真正來自您的公司。
描述
啟用此設定時,Salesforce 會要求每個輸出電子郵件網域都設定有效的 DKIM 金鑰。Salesforce 會為每個網域產生金鑰,且對應的 DNS 記錄會在您的 DNS 區域中發佈,以證明擁有權並透過接收郵件伺服器來啟用簽章驗證。
建議組態
在「設定」>「電子郵件管理」>「傳送性」或「電子郵件安全性」中選取「透過 DKIM 金鑰驗證電子郵件傳送網域的擁有權」,然後為每個傳送網域設定 DKIM 金鑰,並發佈 DNS 記錄。
安全性影響
透過提供來自已授權 Salesforce 支援網域之訊息的密碼驗證,來提高輸出電子郵件的真實性,減少攻擊者偽造這些網域或將合法電子郵件標記為可疑的可能性。
業務影響
改善電子郵件傳遞性與傳送者的聲譽、降低安全性或合規性導向收件者將您的訊息視為不受信任的可能性,並支援品牌信任與法規合規性訊息。
未設定安全性風險
組織的未驗證電子郵件傳送網域擁有權可讓攻擊者更容易模仿您的網域,或降低收件者區分真實 Salesforce 傳送訊息與虛假訊息的能力。
威脅情況
攻擊者可能會建立來自您網域的網路釣魚或虛假電子郵件、欺騙收件者揭露認證、起始詐欺交易,或將不受信任的訊息視為合法的 Salesforce 通知。
估計 CVSS 分數範圍
高 (7.0–8.9)。
風險影響考量事項
當公司使用面向客戶或品牌敏感網域 (例如,@company.com 或 @support.company.com) 傳送大量或具有高影響力的交易或行銷電子郵件時,影響會更大。
風險愈高時機
多個網域用於輸出電子郵件、外部方高度依賴電子郵件型工作流程,或組織受限於嚴格的資料隱私或反網路釣魚法規要求。
低度風險時機
電子郵件量較少,大多數的輸出電子郵件是內部或已透過個別且嚴格控制的電子郵件門道進行路由,或者傳送網域是一般的僅限內部地址,未在外部使用。
業務與整合考量事項
與 DNS 和電子郵件管理員小組協調,以管理金鑰輪換和 DNS 記錄維護,並在啟用之前確認已涵蓋所有啟用的傳送網域。
安全性健康檢閱指南
強烈建議。
受影響的人員
系統管理員、電子郵件行銷和通訊小組、安全性和合規小組,以及從 Salesforce 式傳送網域接收電子郵件的外部收件者。
