主页 / server / 问题 / 1114105
Accepted
Karl.S
Asked: 2022-10-27 12:19:32 +0800 CST

我不了解有关我的政策的 DMARC 报告

  • 772

我的 DMARC 设置似乎无法按预期工作。

首先,有几点需要注意:

  • 域是mydomain.com (显然不是真实的)
  • 域和邮件提供商是gandi.net
  • 我使用Amazon SES从使用的网站发送电子邮件[email protected]
  • 我使用Gmail发送和接收电子邮件[email protected]

SPF记录设置为TXTon :mydomain.com

"v=spf1 include:_mailcust.gandi.net include:amazonses.com include:_spf.google.com ~all"
  • include:_mailcust.gandi.net允许gandi.net使用mydomain.com;发送电子邮件
  • include:amazonses.com允许amazonses.com使用mydomain.com;发送电子邮件
  • include:google.com允许google.com使用mydomain.com;发送电子邮件
  • ~all允许任何其他服务器使用发送电子邮件,mydomain.com但会导致 SPF 检查失败(softfail)

DMARC记录设置为TXTon :_dmarc.mydomain.com

"v=DMARC1; p=quarantine; sp=reject; pct=5; fo=1; rua=mailto:[email protected];"
  • p=quarantine递送未通过 SPF/DKIM 检查的电子邮件并将其标记为垃圾邮件;
  • sp=reject拒绝使用具有子域的地址发送的电子邮件,例如[email protected]
  • pct=5将政策(p而不是sp?)应用于 5% 的电子邮件;
  • fo=1发送 DKIM 故障SPF 故障报告;

现在奇怪的事情,在这个 DMARC RUA 报告中:

  <record>
    <row>
      <source_ip>40.107.12.85</source_ip>
      <count>1</count>
      <policy_evaluated>
        <disposition>none</disposition>
        <dkim>pass</dkim>
        <spf>fail</spf>
      </policy_evaluated>
    </row>
    <identifiers>
      <header_from>mydomain.com</header_from>
    </identifiers>
    <auth_results>
      <dkim>
        <domain>GovSIPF.onmicrosoft.com</domain>
        <result>pass</result>
        <selector>selector1-GovSIPF-onmicrosoft-com</selector>
      </dkim>
      <dkim>
        <domain>mydomain.com</domain>
        <result>pass</result>
        <selector>gm1</selector>
      </dkim>
      <spf>
        <domain>administration.gov.pf</domain>
        <result>pass</result>
      </spf>
    </auth_results>
  </record>
  • 源IP40.107.12.85来自outlook.com但我不使用outlook;
  • 域有一个 DKIM 块GovSIPF.onmicrosoft.com,GovSIPF 是我的客户之一;
  • 域中有一个 SPF 块,该域administration.gov.pf是他们用于电子邮件地址的域,例如[email protected]

我不明白为什么我看到该域的 SPF 阻止administration.gov.pf,这是否意味着他们发送了一封电子邮件,其地址类似于[email protected]通过 outlook.com 服务器?

另一个 DMARC 报告略有不同:

  <record>
    <row>
      <source_ip>202.90.68.50</source_ip>
      <count>1</count>
      <policy_evaluated>
        <disposition>none</disposition>
        <dkim>pass</dkim>
        <spf>fail</spf>
      </policy_evaluated>
    </row>
    <identifiers>
      <header_from>mydomain.com</header_from>
    </identifiers>
    <auth_results>
      <dkim>
        <domain>mydomain.com</domain>
        <result>pass</result>
        <selector>gm1</selector>
      </dkim>
      <spf>
        <domain>mydomain.com</domain>
        <result>softfail</result>
      </spf>
    </auth_results>
  </record>
  • 源 IP202.90.68.50来自mana.pf本地 ISP,但我们不使用它;
spf dkim

2 个回答

  1. Best Answer

    源IP 40.107.12.85 来自outlook.com 但我不使用outlook;

    <source_ip>值是原始电子邮件来自的 IP。

    它不一定是您使用的服务器。

    域 GovSIPF.onmicrosoft.com 有一个 DKIM 块,GovSIPF 是我的客户之一;

    DKIM 检查通过。这强烈表明电子邮件是使用 Outlook 发送的。

    请注意, mydomain.com也有第二个 DKIM pass auth 块。

    域 Administration.gov.pf(...) 有一个 SPF 块

    SPF 检查也通过了。这意味着 Outlook IP<source_ip>被授权发送电子邮件*@administration.gov.pf

    (...)这是否意味着他们通过 outlook.com 服务器发送了一封电子邮件,其地址类似于 [email protected]

    是的。

    而且由于您不使用 Outlook,这很可能是从您的一台服务器发送的转发电子邮件。DMARC 检查电子邮件是否通过,因为mydomain.com的 DKIM 身份验证结果通过(结果为“对齐”)。

    • 2

  2. 当有人使用您的From:并且收件人尊重您的报告要求时,您会收到报告。该报告不一定指出哪些消息是新来自您控制的机器,以及哪些记录与您已转发的消息有关。您必须使用您的本地知识自己处理该报告,最好以某种自动化方式处理。请注意,您无法确定它是哪条消息,它们的接收和转发之间可能存在明显延迟 - 仅受您使用此 DKIM 密钥的时间限制。

    如果他们保持您的签名完好无损(您的域的 DKIM 仍在通过),并且您的签名正在签署合理选择的标头,则这并不表示滥用。只要您的消息没有出于法律原因限制在应转发的位置,这里就没有什么可做的。

    这是否意味着他们通过outlook.com 服务器发送了一封电子邮件,其地址类似于[email protected]

    看起来确实如此,因为您的第一个示例甚至添加了他们的签名,如果您查找该域的 SPF 和 MX 记录,您可以知道他们确实通常使用 Outlook 来处理传入和传出的邮件。请注意,这不一定是手动操作,该域中的邮箱可能设置为简单地转发所有内容。

    • 1

相关问题