O DMARC informa que uma pequena fração de nossos e-mails vem do Google, da Microsoft e de alguns outros provedores.
O DMARC também está relatando que uma boa parte desses e-mails falha no SPF e no DKIM e, portanto, falha no DMARC.
Não usamos esses provedores para enviar e-mails, portanto, adivinhamos que essas estatÃsticas refletem e-mails encaminhados e falsificações.
Obviamente, o SPF falharia em e-mails encaminhados e falsificados, mas é possÃvel que alguns cabeçalhos DKIM legÃtimos sejam danificados em trânsito?
Pergunta,
Faz sentido incluir os hosts SPF do Google e da Microsoft em nosso registro SPF para ajudar a passar o DMARC para os e-mails encaminhados, mesmo que não os utilizemos para enviar e-mails?
Estou relutante em fazer isso porque é contra o espÃrito do SPF e ajudará os spoofers.
Ou podemos ter certeza de que esses DMARCs com falha refletem falsificações e, na maioria dos casos de encaminhamento, os cabeçalhos DKIM são transmitidos intactos?
Absolutamente não. Parece que SPF/DKIM/DMARC estão funcionando exatamente como planejado para você.
Seu registro SPF deve incluir apenas hosts que você realmente usa para enviar usando seu domÃnio.
Esses relatórios que mostram e-mails de origem da Microsoft e do Google quase certamente estão relacionados a mensagens de spam que usam esses serviços, então a última coisa que você deseja se terceiros receberem e-mails de spam "de" seu domÃnio, faça pesquisas em seu registro SPF e aceite-os. mensagens porque seus registros DNS informam que devem ser legÃtimas.
O único outro cenário em que consigo pensar é se alguém na (ou trabalhando para) sua organização usar um serviço Microsoft/Google sem o seu conhecimento e enviar e-mail usando um desses serviços. Nesse caso, por enquanto, eles não serão entregues até que informem à TI o que estão fazendo, para que você possa adicionar o registro apropriado. Mas eu nunca adicionaria registros SPF com base em relatórios DMARC, apenas quando SEI que e-mails legÃtimos realmente vêm de lá.
Observe também que os e-mails encaminhados não causariam esse cenário, pois não é assim que o encaminhamento funciona, a menos que um usuário seja estúpido o suficiente para encaminhar o e-mail do seu domÃnio para dizer sua conta do Google e, em seguida, configurar a conta do Google para encaminhar e-mails para outro lugar também . Mas encaminhar assim não é recomendado, e IMHO, se esses e-mails não chegarem ao destinatário pretendido, isso é um problema para a pessoa que configura mal os encaminhamentos, não para você e para toda a sua organização.
Mantenha seu registro SPF o mais simples possÃvel – não o sobrecarregue com muitas fontes de envio autorizadas. Carregar seu registro SPF com vários hosts pode resultar em erros, fazendo com que os destinatários de e-mail ignorem suas mensagens. Isso pode afetar a reputação do remetente e as taxas de entrega.