标签: dmarc

是否有使用dig或查找域的 DKIM 和 DMARC 记录的方法nslookup？

我尝试执行以下操作：

dig somedomain.org any

返回许多记录，但不返回已知的 DKIM 和 DMARC 文本记录。

nslookup -type=txt somedomain.org

返回除 DKIM 和 DMARC 记录之外的所有已知文本记录。

我为某人创建了网站，但也有人（我猜是 SEO 人员）告诉此人我犯了一个大错误，因为域（mx、SPF、dmarc）上缺少 DNS 记录。现在我需要“修复”我的错误。

事情是，当然，这些记录用于电子邮件目的，但此域中没有电子邮件（只是简单的免费 G​​mail 帐户）。

那么，是否有任何理由添加这些记录呢？他们应该是什么样子？我能想到的唯一原因是使用我的域身份防止垃圾邮件。但是我认为如果这些记录丢失，垃圾邮件过滤器无论如何都不会从我的域中传递电子邮件，那么有什么意义呢？

由于“Google Apps”/“Google Apps for Business ”/“G-Suite”/“Google Workspaces”免费套餐已停止，我需要一个解决方案来将我的约 30 口大家庭迁移到可持续的解决方案。

我正在考虑让他们每个人都背负一个他们应该创建的个人@gmail.com地址，转发电子邮件，并使用gmail中的“发送邮件为”添加地址，使用谷歌的gmail SMTP服务器和应用程序专用密码：

我使用 CloudFlare 作为 DNS，并且激活了CloudFlare 电子邮件路由（测试版）功能，并将 MX 记录设置为各个.mx.cloudflare.net服务器。我还添加了 CloudFlare SPF TXT 记录：v=spf1 include:_spf.mx.cloudflare.net ~all。

现在，这一切似乎都在起作用，除了所发生的情况是发送的电子邮件似乎经常以垃圾邮件告终。我想这可能与 SPF/DKIM/DMARC 有关，但这超出了我的知识范围。

我已经按照我在其他地方看到的建议将 SPF 标头从 修改v=spf1 include:_spf.mx.cloudflare.net ~all为v=spf1 include:_spf.mx.cloudflare.net include:_spf.google.com ~all，但这似乎并没有解决问题。

是否可以添加 DKIM 和/或 DMARC 记录？如果可以，如何添加？我（有限）的理解是，Google 需要给我一个要添加的密钥（可能是我的帐户唯一的），这验证了不仅是 Google/gmail 发送了邮件，而且是我，而不是其他随机的 gmail 用户。

此外，这将如何与其他用户合作？我需要所有用户都能够可靠地发送/接收电子邮件，而不是让它们最终成为垃圾邮件/垃圾邮件。

如果这像 SSH，我将生成一个密钥对，将公钥放在 DNS 上，每个用户将在其 gmail 设置的“发送为”中的某处添加相同的私钥。

我想这可能与电子邮件进入垃圾邮件/垃圾邮件无关，但我添加了 _dmarc TXT 记录：v=DMARC1; p=none; rua=mailto:{{me@gmail.com}}; ruf=mailto:{{me@gmail.com}}; sp=none; fo=1; ri=86400。

我在谷歌上搜索过，但找不到为什么这些报告被命名为“rua”和“ruf”。

它们似乎不是随机的，但似乎也不容易以明显的方式转化为它们的定义。

来自 DMARC RFC：

rua：汇总反馈要发送到的地址

ruf：要报告消息特定取证信息的地址

好吧，我猜也许“ a ”映射到“聚合”，而“ f ”映射到取证。但是“ru”部分是什么意思？

我想知道我是否可以简单地将 4096 位 RSA 密钥用于 DKIM（在 DNS TXT 记录中）。
是否有任何缺点（忽略计算工作）？
也许有些邮件服务器无法处理这么大的密钥？

另外：是否有使用大于 2048 位的 RSA 密钥的大型邮件提供商？谷歌、雅虎和微软似乎都使用 2048 位密钥。

我有一封邮件被 Gmail 拒绝了，我不知道为什么。它通过了SPF。我们没有使用 DKIM。我需要设置 DKIM 吗？

我控制着“example.com”。我们的邮件服务器是“server.example.com”（托管在 bluehost）

我们的 SPF 记录是

v=spf1 +a +mx ?include:bluehost.com -all 

但是 Gmail 拒绝了一封邮件：

由于 550-5.7.1 域的 DMARC 政策，来自 example.com 的 550-5.7.1 未经身份验证的电子邮件不被接受。请联系example.com管理员...

消息标题：

Return-path: <sabrina@example.com>
Received: from [99.127.228.246] (port=61813 helo=[192.168.1.66])
    by server.example.com with esmtpsa (TLSv1:AES128-SHA:128)
    (Exim 4.80.1)
    (envelope-from <sabrina@example.com>)
    id 1VMLM8-0007ok-5c; Wed, 18 Sep 2013 17:16:03 +0000
From: Sabrina <sabrina@example.com>
Content-Type: multipart/alternative; boundary="Apple-Mail=_2FE0763D-B160-49C4-8202-B8258851AFAD"
Subject: positive self thoughts/talk 
Date: Wed, 18 Sep 2013 10:15:24 -0700
Message-Id: <D85DC2BA-0E8A-4AF6-9C54-203C52E996F2@example.com>
To: Tanja Schulte-Irwin <tanjaschulte@gmail.com>,
Zachary Bloom <zbloom@sffriendsschool.org>
Mime-Version: …

每当我的域向另一个域上的 Google 群组发送消息时，DMARC 对齐都会失败。这适用于所有我批准的发件人，即使在我的域中使用 Gmail。好像是因为Return-Path(Envelope From)头被接收组的退回地址代替了，但是From头仍然是我的域，这是不正确的。

例如，我将邮件从我域中的 Gmail chris@mydomain.com 发送到您域中的群组 your-group@yourdomain.com。如果您查看收到的消息的标题，您会看到：

坏的

Return-Path: <your-group+bncBCA5XFGRYQLCBEHHVS5AKGQED3J2I7I@yourdomain.com>
Authentication-Results: mx.google.com;
   dkim=pass header.i=@yourdomain.com;
   spf=pass (google.com: domain of your-group+bncBCA5XFGRYQLCBEHHVS5AKGQED3J2I7I@yourdomain.com designates 2607:f8b0:400d:c04::246 as permitted sender)
smtp.mailfrom=your-group+bncBCA5XFGRYQLCBEHHVS5AKGQED3J2I7I@yourdomain.com;
   dmarc=fail (p=NONE dis=NONE) header.from=mydomain.com
From: Chris <chris@mydomain.com>

X-Original-Sender: chris@mydomain.com
X-Original-Authentication-Results: mx.google.com;       dkim=pass
 header.i=@mydomain.com;       spf=pass (google.com: domain of chris@mydomain.com
 designates 2607:f8b0:400c:c05::233 as permitted sender)
smtp.mailfrom=chris@mydomain.com;
       dmarc=pass (p=NONE dis=NONE) header.from=mydomain.com

由于 From 域 (mydomain) 与 DKIM 和 SPF 域 (yourdomain) 之间的对齐不当，DMARC 失败。但是，当您（一个正确配置的 GApps 用户）从 Gmail 向 mydomain 中的群组发送邮件时，标头是不同的。

好的

Return-Path: <my-group+bncBCGJ3NF22YBRBTXIVS1RKGQEIWR5E6Q@mydomain.com>
Authentication-Results: mx.google.com; …

我有这个域，我为其设置了 SPF、DKIM 和 DMARC 内容。让我们假设域example.com在其 DNS 区域中具有以下条目：

example.com.                    600 IN  MX  1 mail.morpheu5.net.
example.com.                    600 IN  TXT "v=spf1 a mx -all"
_dmarc.example.com.         600 IN  TXT "v=DMARC1; p=none; rua=mailto:postmaster@example.com; ruf=mailto:postmaster@example.com; sp=none; ri=86400"
mail._domainkey.example.com.    600 IN  TXT "v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDSYXmE/aXew9wcS9dCZFYrPetCRC9rW3vVYRQo980JbC6pXbAkqnUd7ncWkUaQZgF2HKzrspUMklRN35rB1b9iHX3dHnf/gvxSURZPYcKT1DenFt+Vhplv2IuWCNWRSqTuXTXlVOnf+TwWLZayKNq62mCqU09sasP9kHXO5lyIbwIDAQAB"

mail.morpheu5.net是我的后缀的本地主机/域/事物，我example.com作为虚拟域进行管理。我正在将 OpenDKIM 和 OpenDMARC 作为 milters 运行——SpamAssassin 也是如此，但这工作正常。

OpenDKIM 工作正常，所有邮件都得到了正确签名，Gmail 甚至显示了“签名者：example.com”和标准加密 (TLS) 的确认。事实上，如果我在 Gmail 中检查原始邮件，我会得到以下信息：

ARC-Authentication-Results: i=1; mx.google.com;
       dkim=pass header.i=@example.com header.s=mail header.b=pixIC2KM;
       spf=pass (google.com: domain of xxxxx@example.com designates 79.137.83.28 as permitted sender) smtp.mailfrom=xxxxx@example.com;
       dmarc=pass (p=NONE sp=NONE dis=NONE) …

我正在为我的项目使用具有自己域（Google Apps）的 gmail。现在我想添加外部邮件服务器来为用户发送通知。Gmail 不提供 DKIM 的私钥，如果密钥将在​​外部邮件服务器上生成，在严格规则的情况下，来自 gmail 的所有邮件都将被拒绝。在这种情况下如何使用 SPF+DKIM+DMARC 来防止邮件欺骗？

大约 5 天以来，我已经成功地收到了来自几个 ISP 的几个 DMARC RUA（汇总报告）报告， 但是我还没有收到一封 RUF 消息/取证电子邮件，即使 RUA 报告确实显示了一些失败。因为我只是在大约 6 天前设置了它，所以目前没有采取任何行动 (p=none;) 。

我们确实设置了 SPF ，然后是 DKIM ，最后一两天后， DMARC 。我使用了 3rd 方工具来确认所有 3x 都在工作/没有错误。

这是我的域的 _dmarc txt 记录（由第 3 方 dns txt 查找工具检索，以确认）

查找： _dmarc.domain1.com （60 分钟）

结果： v=DMARC1；p=无；rua=mailto:adminpostmaster@domain1.com; ruf=mailto:emailsec@domain1.com

（我已将真实域更改为 "domain1.com" ，并已验证没有拼写错误）。

RUF emailsec@domain1.com 是一个新的独立电子邮件帐户（使用 gsuite 付费/专业版，与所有 domain1.com 电子邮件帐户相同）。我已验证 SPAM 文件夹中没有任何内容，并且 emailsec@domain1.com 帐户正在工作/可以接收来自外部域的电子邮件）。

有任何想法吗？我在想我没有收到任何 RUF 电子邮件，因为我使用 p=none；（而不是 p=quarantine 或 p=reject ，但是），但是我在这里看到其他问题，其中 ppl 使用 p=none；并且正在收到 ruf 电子邮件。

谢谢