主页 / server / 问题 / 779730
Accepted
lordbyron
Asked: 2016-05-30 15:47:04 +0800 CST

为什么我的域发给 google 组的消息不重写其标头以便 DMARC 可以通过?

  • 772

每当我的域向另一个域上的 google 组发送消息时,DMARC 对齐就会失败。这适用于我所有批准的发件人,即使在我的域中使用 Gmail。这似乎是因为 Return-Path (Envelope From) 标头被接收组的退回地址替换,但 From 标头仍然是我的域,这是不正确的。

例如,我从我的域 [email protected] 中的 Gmail 向您域中的组 [email protected] 发送邮件。如果您查看收到的消息的标题,您会看到:

坏的

Return-Path: <[email protected]>
Authentication-Results: mx.google.com;
   dkim=pass [email protected];
   spf=pass (google.com: domain of [email protected] designates 2607:f8b0:400d:c04::246 as permitted sender)
smtp.mailfrom=your-group+bncBCA5XFGRYQLCBEHHVS5AKGQED3J2I7I@yourdomain.com;
   dmarc=fail (p=NONE dis=NONE) header.from=mydomain.com
From: Chris <[email protected]>

X-Original-Sender: [email protected]
X-Original-Authentication-Results: mx.google.com;       dkim=pass
 [email protected];       spf=pass (google.com: domain of [email protected]
 designates 2607:f8b0:400c:c05::233 as permitted sender)
[email protected];
       dmarc=pass (p=NONE dis=NONE) header.from=mydomain.com

由于 From 域 (mydomain) 与 DKIM 和 SPF 域 (yourdomain) 之间的对齐错误,DMARC 失败。但是,当您(一个正确配置的 GApps 用户)将邮件从 Gmail 发送到 mydomain 上的组时,标头会有所不同。

好的

Return-Path: <[email protected]>
Authentication-Results: mx.google.com;
       dkim=pass [email protected];
       spf=pass (google.com: domain of [email protected] designates 2607:f8b0:4001:c0b::247 as permitted sender) smtp.mailfrom=my-group+bncBCGJ3NF22YBRBTXIVS1RKGQEIWR5E6Q@mydomain.com;
   dmarc=pass (p=NONE dis=NONE) header.from=mydomain.com
From: "'You' via my-group" <my-group@ mydomain.com>

请注意 From 标头的不同形式 - 原始发件人已被我自己的组替换。上面还有一对 X-Original 标题具有相同的形式(只是颠倒了),所以我没有粘贴它们。

所以问题是,我如何配置我的域、gapps、dns、mx 或其他任何内容,以便接收我的邮件的 Google 群组将正确地将 From 标头替换为“via [email protected]”?

从我的域到其他域的用户的邮件工作正常 - DMARC 通过,因为 SPF 和 DKIM 很好,并且返回路径仍然显示@mydomain。我已阅读有关为什么需要“通过您的群组”的文章 - 我对此表示同意。我试图弄清楚为什么我发给群组的消息没有得到这样的对待。

似乎类似于:How to prevent email from my domain through mailing lists to be denied due to DMARC 不同,因为谷歌组绝对与 DMARC 兼容——其他人没有这个问题。

更新: 我发现这篇文章说谷歌组只在 DMARC 政策严格时重写发件人(p=reject)。这似乎是一个糟糕的主意,因为从 p=none 开始的全部目的是为了获得信心,当您制定政策时,您的邮件将被送达,但如果属实,那么它可能会解释我的问题。任何人都可以确认吗? http://www.spamresource.com/2014/04/google-groups-rewriting-from-addresses.html

email spf gmail smtp-headers dmarc

1 个回答

  1. Best Answer

    我终于得到了谷歌的回复。我很高兴找到理解这个问题的人,但不幸的是,谷歌似乎坚持他们对 DMARC 指令的错误处理。

    仅当原始发件人(在本例中为您)的 DMARC 政策设置为拒绝或隔离时,Google 网上论坛才会重写 From: 标头。

    使用 DMARC/p=none,发送到组时不会重写 DKIM,但由于 DMARC 设置为“none”,因此从传递和垃圾邮件检测的角度来看,组会破坏 DKIM 并不重要 -它仍然会正确交付。不幸的是,如果您正在监视您的部署,它确实会让人感到困惑。

    为了查看正确的行为,您可以切换到 p=quarantine 并监控交付。如果还有什么可以帮助您的,请告诉我,我很乐意跟进。

    • 12

相关问题