标签: dmarc

我在我的域上设置了DMARC策略.但每天我都会收到谷歌的XML报告.

我不明白问题是什么？

该报告是:

<?xml version="1.0" encoding="UTF-8" ?>
<feedback>
  <report_metadata>
    <org_name>google.com</org_name>
    <email>noreply-dmarc-support@google.com</email>
    <extra_contact_info>http://support.google.com/a/bin/answer.py?answer=2466580</extra_contact_info>
    <report_id>7241837801886321635</report_id>
    <date_range>
      <begin>1431388800</begin>
      <end>1431475199</end>
    </date_range>
  </report_metadata>
  <policy_published>
    <domain>rigweb.ru</domain>
    <adkim>r</adkim>
    <aspf>r</aspf>
    <p>none</p>
    <sp>none</sp>
    <pct>100</pct>
  </policy_published>
  <record>
    <row>
      <source_ip>144.76.154.188</source_ip>
      <count>2</count>
      <policy_evaluated>
        <disposition>none</disposition>
        <dkim>pass</dkim>
        <spf>pass</spf>
      </policy_evaluated>
    </row>
    <identifiers>
      <header_from>site.ru</header_from>
    </identifiers>
    <auth_results>
      <dkim>
        <domain>rigweb.ru</domain>
        <result>pass</result>
      </dkim>
      <spf>
        <domain>site.ru</domain>
        <result>pass</result>
      </spf>
    </auth_results>
  </record>
</feedback>

我的DMARC政策:

v=DMARC1; sp=none; aspf=r; p=none; rua=mailto: support@site.ru

我该如何解决这个问题？

我在很多域上使用了相当多的电子邮件转发功能,AOL的最新p =拒绝政策给我带来了一些问题,也引起了很多困惑.我对DMARC的理解是它基于带有报告层的DKIM和SPF.我知道SPF是一个转发问题,但只要SPF设置为〜所有软故障,那么这不是一个显示停止.我还认为DKIM可以毫无问题地通过转发,只要你没有太多问题.但是我发现,当他们降落在GMail时,由MailGun转发的某些来自AOL的电子邮件正在使DMARC失败.MailGun说它是由于发件人/不匹配错误.任何人都可以详细说明电子邮件转发注定是因为DMARC占用还是MailGun没有正确转发？

我无法找到这个问题的答案，所以如果以前有人问过这个问题，请原谅我。

我正在与非营利组织合作，他们拥有非营利帐户的 Google Workspace。我正在努力设置 SPF/DKIM/DMARC 记录，除了一种情况外，它们工作得很好。

我们有两个不同的域名：whedoncon.com 和 thehellmouth.org。我们的一些用户在两个域上都有电子邮件（即 user@whedoncon.com 和 user@thehellmouth.org 发送给同一个人）。我可以从每个域单独发送电子邮件，并且它们可以很好地通过 SPF、DKIM 和 DMARC。当我将域设置为能够相互发送时，问题就出现了。

我添加了 user@whedoncon.com 的功能，以便能够以 user@thehellmouth.org 的身份发送邮件。问题似乎是当我以 user@whedoncon.com 身份登录并以 user@thehellmouth.org 身份发送消息时。查看电子邮件标头，似乎因为我以 user@whedoncon.com 身份登录，所以无论我选择哪个帐户发送电子邮件，它都会将返回路径设置为 whedoncon.com 地址。

这样做的问题是，每当我以 user@thehellmouth.org 身份发送电子邮件时，即使 SPF 和 DKIM 都通过了，它也会导致 DMARC 失败。这似乎是因为返回路径显示为 user@whedoncon.com，但 DKIM 正在查看 hellmouth.org。

因此，TL：DR，谷歌似乎总是默认使用登录帐户作为返回路径，而不是实际发送的辅助帐户。有没有办法更改返回路径，使其与电子邮件来源的帐户匹配，而不是与我登录的帐户匹配？

我在使用 google 时遇到问题，无法将电子邮件发送到任何 gmail 或 Gsuite 电子邮件，但从邮件服务器日志中获取了报告

Feb 17 12:16:30 server postfix/smtp[19451]: 853E35E55A: to=<xxx@gmail.com>, 
relay=aspmx.l.google.com[209.85.144.27]:25, delay=0.38, delays=0.05/0/0.15/0.17, 
dsn=5.7.26, status=bounced (host aspmx.l.google.com[209.85.144.27] said: 550-5.7.26 This 
message does not have authentication information or fails to 550-5.7.26 pass 
authentication checks. To best protect our users from spam, the 550-5.7.26 message has 
been blocked. Please visit 550-5.7.26  
https://support.google.com/mail/answer/81126#authentication for more 550 5.7.26 
information. w19si7586061qkp.34 - gsmtp (in reply to end of DATA command))

而且我没有被列入任何垃圾邮件网站的黑名单（我确实检查了大多数提供阻止列表检查器的网站）

我的 SPF、DKIM 或 DMARC 也没有任何问题

这是 SPF 检查器 https://prnt.sc/26xomwz

这是 …

我们最近为我们的域名实施了DMARC记录:

"v = DMARC1; p =隔离; pct = 100; rua = mailto:me@mydomain.com"

(隔离100%未经过身份验证的电子邮件并将汇总报告发送给"我")

我们使用第三方供应商发出邀请.供应商从invites@invites.vendordomain.com发送电子邮件,然后通过邮件中继"smtp3.mailrelaydomain.it"发送.我也知道邮件中继使用单个IP地址.

该地址包含在我们的SPF记录中:

"v = spf1 ... [其他邮件服务器的SNIP参考SNIP] ... ip4:[邮件中继的IP地址]〜所有"

当我使用供应商的服务发送邀请时,邮件将被隔离.

当我查看聚合DMARC报告时,我看到邀请:

• 被识别为来自SPF授权服务器
• 为发件人的域传递原始SPF身份验证(invites@invites.vendordomain.com")
• 为邮件中继域传递原始DKIM身份验证(smtp3.mailrelaydomain.it)
• 对于mydomain,DKIM和SPF的DMARC身份验证失败

以下是邀请的示例标题.

开始采样电子邮件标题

Delivered-To: someone@mydomain.com
Received: by 10.64.252.9 with SMTP id zo9csp100581iec;
        Wed, 21 Oct 2015 11:40:13 -0700 (PDT)
X-Received: by 10.55.195.147 with SMTP id r19mr12995508qkl.12.1445452813709;
        Wed, 21 Oct 2015 11:40:13 -0700 (PDT)
Return-Path: <invites@invites.vendordomain.com>
Received: from smtp3.mailrelaydomain.it (smtp3.mailrelaydomain.it. [ip for mail relay])
        by mx.google.com with ESMTP id w15si9297939qha.131.2015.10.21.11.40.13
        for <someone@mydomain.com>;
        Wed, 21 …

我的一个网站发送来自各种来源的电子邮件,包括:

• Mailchimp
• 山魈
• Mailgun
• 亚马逊SES
• 从服务器本身

我们已经为所有来源正确配置了SPF和DKIM设置,因此我们决定添加DMARC,同时我们将所有内容更改为-all.

我们所有的电子邮件都已经过了很好但我们注意到我们的Mailchimp电子邮件是"SPF Incapable",因此没有完全通过.

大多数电子邮件客户端/帐户显示DMARC已通过,但DMARCian和一些电子邮件客户端已经过时 DMARC Fail-alignment

例如:

但DMARC.io会说以下内容:

SPF:SPF是不可能的,因为MailChimp在退回地址中使用自己的域名.但是,他们的域身份验证验证工具需要包含Mailchimp.要在不必包含Mailchimp服务器的情况下解决此问题,请尝试在SPF记录中仅包含"ip4:205.201.128.0/20 ip4:198.2.128.0/18 ip4:148.105.8.0/21".

所以,我将这些添加到我的SPF中,但它仍然显示:

所有以下IP都包含在那些CIDR符号中,所以我无法弄清楚为什么SPF仍然未对准SPF,但它修复了DKIM ......

• 198.2.185.161
• 198.2.185.245
• 198.2.141.4
• 198.2.175.233
• 198.2.185.245
• 198.2.142.122

我确实在stackoverflow上找到了以下内容:https://stackoverflow.com/a/50471866/2487602但是这在建议中似乎有点不对,因为跳出服务器几乎总是不同.他们有数百台服务器.

我的SPF看起来像:

v=spf1 +a +mx +ip4:94.237.30.75 +ip4:94.237.30.85 +ip4:94.237.30.86 +ip4:94.237.30.87 +ip4:54.77.177.67 +ip4:34.246.233.211 +ip4:52.18.62.128 +ip4:34.241.119.225 +ip4:205.201.128.0/20 +ip4:198.2.128.0/18 +ip4:148.105.8.0/21 include:servers.mcsv.net include:spf.mandrillapp.com include:mailgun.org include:amazonses.com -all

我做错了什么/我可以改进以使SPF对齐吗？

在旁注中,我假设我可以使用前4个IP:+ip4:94.237.30.75/28其中包括那4个IP以及14个左右的其他IP,这些风险并不高,尤其是当它们没有DKIM时结果DMARC通过？为了使它更安全一点,我可以将这4个记录减少到+ip4:94.237.30.75 +ip4:94.237.30.85/30仅包含1个我们不使用的IP.

我也想通过EC2发送电子邮件,而不是SES发送一些电子邮件(可能取代Mailgun/SES)但是当我们从这些服务器发送电子邮件时,他们会因为没有反向DNS而被发送到垃圾邮件.

我假设,对此的修复是请求亚马逊为我们使用的3x EC2实例设置PTR记录？

之前我确实要求其中一个,但我不确定它是否应该指向我的主网站的IP或它发送电子邮件的服务器的IP ...

至于SES,即使在添加SPF包含和DKIM记录之后,我们的SPF记录显示"中性"而不是"通过",例如以下内容来自SES/EC2的"测试电子邮件"功能

• SPF: NEUTRAL with IP 54.240.7.46

所以回顾一下......

1. 我们如何让Mailchimp完全传递SPF,以便DMARC对齐
2. 如果子域指向从主域发送电子邮件的服务器或主域服务器,我们如何正确设置反向DNS的PTR记录？
3. 我如何让亚马逊SES抛出SPF通行证,而不是SPF中立？

有没有办法停止接收 DMARC 电子邮件报告？然而，我已将记录添加到 DNS，即使删除该记录后，我仍然会收到电子邮件报告。我访问了 DMARC 检查网站，只是想看看我的域是否仍然有 DMARC 记录，而且仍然如此。

我觉得很奇怪，即使我将其从 DNS 记录中删除后，报告仍然会出现。任何建议都会非常有帮助。

我有一个域名注册domains.google.com,我使用G Suite帐户,也发送电子邮件来自SES和mailchimp.

我的DNS记录对我来说是正确的(Mailchimp说明):

@ TXT"v = spf1 include:_spf.google.com include:amazonses.com include:servers.mcsv.net~all"

_dmarc TXT"v = DMARC1; p = none; pct = 100; rua = mailto:re+aml1ryadtn7@dmarc.postmarkapp.com; sp = none; aspf = r;"

我使用邮戳的漂亮服务来获取每周DMARC摘要,并且他们为mailchimp电子邮件报告此错误:

mcsv.net有权代表mydomain.com发送,但看起来SPF仍未通过DMARC的对齐测试.DMARC查看邮件的返回路径,以确保其中的域与"发件人"地址中的域匹配.如果Return-Path路径与From地址不匹配,那么这些消息将无法通过DMARC的SPF对齐测试.请检查此来源,因为您可能需要设置自定义的返回路径.

以下是来自mailchimp电子邮件的相关标题:

Return-Path: <bounce-mc.us17_88978185.265251-recipient=patentbots.com@mail125.suw11.mcdlv.net>
From: me@mydomain.com

设置(DNS或Mailchimp)中是否存在导致SPF DMARC对齐失败的错误？或者这是Mailchimp不支持的东西？

我想了解我的DMARC记录。我已经在网上进行了一些阅读，但是我不明白为什么在<policy_evaluated>标签中，spf会失败，但是在详细说明之后，它实际上会通过。

<record>
    <row>
      <source_ip>2607:f8b0:400c:c05::230</source_ip>
      <count>1</count>
      <policy_evaluated>
        <disposition>none</disposition>
        <dkim>pass</dkim>
        <spf>fail</spf>                           <-- here
      </policy_evaluated>
    </row>
    <identifiers>
      <header_from>xxxxx</header_from>
    </identifiers>
    <auth_results>
      <dkim>
        <domain>xxxxx</domain>
        <result>pass</result>
        <selector>default</selector>
      </dkim>
      <spf>
        <domain>xxxxx</domain> 
        <result>pass</result>                     <-- here
      </spf>
    </auth_results>
  </record>

同样在另一条记录上，我有一个软失败：

<auth_results>
      <dkim>
        <domain>xxxxx</domain>
        <result>pass</result>
        <selector>default</selector>
      </dkim>
      <spf>
        <domain>xxxxx</domain>
        <result>softfail</result>                 <-- here
      </spf>
    </auth_results>

我一直在尝试为我的域制定DMARC策略。该邮件当前正在与amazon-ses、freshsales和其他相关应用程序一起使用。

我成功地测试了它，dmarc策略设置为p=none. 现在，我想进一步将此 DMARC 策略更新为p=reject.

我还没有看到任何邮件从 SES、Gmail 等处被丢弃。

但是，当我创建日历邀请并进行一些更改时，邮件未送达。谷歌表单也会发生同样的情况，我想其他谷歌应用程序也是如此。

我提到了https://dmarcian.com/google-calendar-invites-dmarc/和其他地方，但他们没有谈论解决方案。我在其他地方找不到解决方案，包括StackOverflow.

当我诊断时，我发现日历或表单中的电子邮件是从谷歌服务器生成的，这就是它们被阻止的原因。但解决方案或解决方法是什么？

我正在附加使用我的域设置的 DMARC 和 SPF 策略。

我想知道

1. 如何为日历、表单等 Gmail 应用程序设置这些政策？我不希望我的任何电子邮件因 DMARC 政策而被丢弃。
2. 我是否需要在 Google WorkSpace 级别进行设置，还是仅通过域名提供商进行设置即可完成这项工作？如果是，那么如何在 Google WorkSpace 上进行设置。

注意：这些设置适用于任何其他电子邮件。仅会阻止从 Google Apps 生成的电子邮件。例如，您可以创建日历，但无法从日历发送更新。