DMARC 报告称,我们的一小部分电子邮件来自 Google、Microsoft 和其他一些提供商。
DMARC 还报告称,其中很大一部分电子邮件都未通过 SPF 和 DKIM,因此未通过 DMARC。
我们不使用这些提供商发送电子邮件,因此猜测这些统计数据反映了转发的电子邮件和欺骗。
显然,SPF 对于转发和欺骗电子邮件会失败,但是否有可能某些合法的 DKIM 标头在传输过程中被破坏?
问题,
即使我们不使用它们发送电子邮件,将 Google 和 Microsoft 的 SPF 主机包含在我们的 SPF 记录中以帮助这些转发的电子邮件通过 DMARC 是否有意义?
我不愿意这样做,因为这违背了 SPF 的精神,而且会帮助欺骗者。
或者我们是否可以非常确定那些失败的 DMARC 反映了欺骗行为,并且在大多数转发情况下 DKIM 标头都完好无损地传递?
绝对不。听起来 SPF/DKIM/DMARC 完全按照您的预期工作。
您的 SPF 记录应仅包含您实际用于通过您的域进行发送的主机。
这些显示 Microsoft 和 Google 源电子邮件的报告几乎肯定与使用这些服务的垃圾邮件有关,因此,如果第三方“从”您的域接收垃圾邮件,请查找您的 SPF 记录,然后接受这些邮件,那么您最不希望发生的事情消息,因为您的 DNS 记录告诉他们它必须是合法的。
我能想到的唯一其他情况是,如果您的组织中(或为您工作)的某人在您不知情的情况下使用 Microsoft/Google 服务,并使用其中一项服务发送电子邮件。在这种情况下,目前它们将无法交付,直到他们通知 IT 他们正在做什么,以便您可以添加适当的记录。但我永远不会根据 DMARC 报告添加 SPF 记录,只有当我知道合法电子邮件确实来自那里时。
另请注意,转发的电子邮件不会导致这种情况,因为这不是转发的工作原理,除非用户愚蠢到将他们的电子邮件从您的域转发到他们的 Google 帐户,然后将 Google 帐户设置为将电子邮件转发到其他地方。但不建议这样转发,恕我直言,如果这些电子邮件没有到达预期收件人,这对于转发设置不当的人来说是一个问题,而不是您和您的整个组织。
让您的 SPF 记录尽可能简单 — 不要用太多授权的发送源使之拥挤不堪。使用多个主机加载 SPF 记录可能会导致错误,导致电子邮件接收者忽略您的邮件。这可能会影响您的发件人声誉和送达率。