我已经在我的域中设置了 SPF、DKIM 和 DMARC(尽我所能),但我仍然可以发送欺骗性电子邮件 - 没有 DKIM 签名 - 并且它们被接受(至少当我使用 GMail 进行测试时 - 我假设他们对此类事情最严格(2))。当我从非 SPF 批准的 SMTP 服务器欺骗我的域时,GMail 会隔离它,但是当我们使用公共 SMTP 发件人进行工作时(例如 Mailgun 和朋友(1)),SPF 不能成为最后一道防线 -据我了解,这就是 DKIM 的本意。
我已经正确设置了我的 DKIM 密钥,并且签名的电子邮件得到了正确的验证(当 GMail 收到时我检查了电子邮件标题,它看起来很好),并且我已经设置了 DMARC 如下:
$ dig txt _dmarc.mydomain.com
;;...
;; ANSWER SECTION:
_dmarc.mydomain.com. 300 IN TXT "v=DMARC1; p=quarantine; rua=mailto:[email protected];"
但是然后通过 DNSExit 发送欺骗性(即未签名)电子邮件(为了完成,使用不是我公司的 DNSExit 帐户的免费帐户,这无关紧要)-GMail 接受它来自我的域并且不隔离它,也不标记它带有任何警告。
这是 GMail 收到的电子邮件中的相关标头:
ARC-Authentication-Results: i=1; mx.google.com;
spf=pass (google.com: domain of [email protected] designates x.x.x.x as permitted sender) [email protected];
dmarc=pass (p=QUARANTINE sp=QUARANTINE dis=NONE) header.from=mydomain.com
所以看起来 GMail 甚至没有检查 DKIM?
我在某个地方读过(虽然没有在我在邮件服务提供商处看到的任何 DKIM 设置说明中读到)- 在这个服务器故障问题中值得注意的是,您需要在域的顶级_domainkey记录中使用“域策略记录”,但这什么都不做——正如服务器故障答案中所指出的那样,它已被废弃(?)
我真的希望公共(合规)邮箱服务器停止接受据称从我的域发送的非 DKIM 签名电子邮件 - 我该怎么做?
(1) 需要身份验证但并不总是正确验证域所有权的公共 SMTP 发件人(或者根本没有,我在看你 - DNSExit)。
(2) 后来我用 outlook.com 进行了测试,它显然确实隔离了我的欺骗性电子邮件,并添加了这个标题:Authentication-Results: spf=permerror (sender IP is X.X.X.X) smtp.mailfrom=mydomain.com; dkim=none (message not signed) header.d=none;dmarc=fail action=quarantine heaader.from=mydomain.com;compauth=fail reason=000。为什么 GMail 不是安全堡垒?
DMARC
不幸的是,您似乎假设
DMARC需要同时SPF通过DKIM(或DKIM在任何情况下都需要通过)才能通过DMARC检查。它不需要,它需要一个 pass onSFP- 或 - a pass onDKIM,与您的发送域(在From标题中)保持一致。DMARC在政策执行方面,Gmail 似乎完全符合预期。从已接受的 Gmail 邮件中的 Authentication-Results 标头中应该清楚这一评估。防晒指数
如果您不信任或不能信任公共 SMTP 服务,尽管它们确实要求您证明域所有权,您可以从域的 SPF 记录中省略它们的服务 IP 范围(通过包含或其他方式)。
?或者,使用include 前面的中性机制 ( ) 既不表示通过也不表示失败。域名密钥与 DKIM
您描述的顶级
_domainkey记录是 DKIM 前身技术的一部分,称为'DomainKeys'。DKIM 不再依赖此策略记录。据我所知,现在已经没有 ESP 依赖这项技术了。Outlook.com
Outlook.com 隔离了你的邮件(发送到垃圾文件夹?),不是基于缺少 DKIM 签名,而是基于未能评估你的
SPF记录 (PermError) - 以及 - 缺少对齐的DKIM签名。这通常表示您的 DNS 记录中存在语法错误。