我最近为我的一个域添加了 DMARC 记录。让我们称之为mydomain.com:
v=DMARC1;p=none;rua=mailto:[email protected];ruf=mailto:[email protected];fo=1"
这两天一直在收到举报,但是有一些记录我不太明白。例如:
<record>
<row>
<source_ip>217.72.192.73</source_ip>
<count>1</count>
<policy_evaluated>
<disposition>none</disposition>
<dkim>pass</dkim>
<spf>fail</spf>
</policy_evaluated>
</row>
<identifiers>
<header_from>mydomain.com</header_from>
</identifiers>
<auth_results>
<dkim>
<domain>mydomain.com</domain>
<result>pass</result>
<selector>2014</selector>
</dkim>
<spf>
<domain>srs2.kundenserver.de</domain>
<result>pass</result>
</spf>
</auth_results>
</record>
我的 SPF 记录不包括217.72.192.73orsrs2.kundenserver.de并且我以前从未听说过或使用此服务器发送电子邮件,因此可以假设这是有人试图欺骗来自mydomain.com. 将 SPF 报告为已通过但未对齐也是可以理解的。但是,我想知道的是这是如何通过 DKIM 的?
我的域的 DNS 中有以下条目:
2014._domainkey.mydomain.com. IN TXT ( "v=DKIM1; k=rsa; t=s; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEArbY9HBzct5lz6"
"43Wv4pnudx+Ei6/YKifIr+AIUi5mpNGOYu6P81ooIJozVlY8flLSseurs8CFDuvs1j7FznUyrfVuYE/g"
"6uD17VSaZwqfciW9wBdN25ruM0wRX+9tC7p8IDBUo1hJhrk5ngiwJpz/jpcXmfTjQdbE1M+yMrujUFNC"
"vMqS2YAaAqVYPe4TMgpRum23oZm9PX0iqgkShiUXzNLzTM8NIaWXrHPnBaeKoNChbPZlHPCyvLqbJbRJ"
"L+bj3P7B+9Pey04xbi2SalqH1XNLKU20Nd4wZAQAVHFvUoyj2XAzaOQnRSLavDCUYgBpt/Y9u9oAU+mb"
"Cg2SLWzrQIDAQAB" )
从报告中我们可以看到,匹配的选择器是2014,它来自这个 DNS 条目。
由于这封电子邮件可能没有由我的服务器的私钥签名,所以这不应该是fail? 这是否意味着也许有人已经获得了我的私钥的访问权限?奇怪的是,我的 SPF 记录中未列出的服务器发送的电子邮件有 5 条记录,所有这些都将 DKIM 列为“通过”。我没有任何 DKIM 失败报告。
当您看到DKIM=pass但SPF=fail(IP 不在 SPF 记录涵盖的范围内)时,这可能表明您的邮件已被您在 XML 报告中看到的 IP 的服务器自动转发。
在您的特定情况下,您的一个电子邮件收件人在 1 和 1 主机上拥有邮箱(kundenserver.de 域属于他们),并且该邮箱已主动转发到其他地址。
如果您查看“ org_name ”标签(聚合报告馈送器)中的值,您将知道谁是电子邮件的最终收件人。您可能会看到一些可能的值:“google.com”、“Yahoo! Inc.”、“AMAZON-SES”、“comcast.net”、“emailsrvr.com”、“FastMail Pty Ltd”、“Mail.茹”...
所以,无需担心。此外,如果您怀疑您的私钥泄露,您可以随时为邮件签名重新生成 DKIM 密钥并更新 DNS 中的 DKIM 公钥。
为了让生活更轻松,我建议部署DMARC.org网站上列出的 DMARC 报告处理和分析解决方案之一:
当您为您的域部署 DMARC 时,您将全面了解用于从您的域发送电子邮件的所有电子邮件来源,包括 SPF、DKIM 和 DMARC 身份验证状态。
我可能会建议您尝试EasyDMARC,因为从 2018 年初开始使用它。