Gmail 使用 DMARC 软退回转发的邮件

Question

好的，如果我没看错的话，邮件是从@st***er.comgmail 发往的（DMARC 通过了：第 27 行）。然后 Gmail 已配置为自动转发到一个@ne***rt.net地址（同样，这似乎通过了 DMARC：第 9-13 行）。

此设置中的所有内容都表明应该正在工作。而且，由于您收到了一封电子邮件，因此您可以查看标题，因此我进一步假设这是真的（邮件已送达）。

我快速检查了 DMARC 记录_dmarc.st***er.com，发现您有严格的启用对齐（“... adkim=s; aspf=s...”）。虽然这应该没什么问题（再次强调，您发布的邮件头的 gmail 测试表明一切正常；至少就 SPF/DKIM/DMARC 而言），但坚持严格对齐可能会给 ne***rt.net 邮件服务器带来麻烦。这表明 ne***rt.net 可能是问题发生的地方；但您可以通过使用宽松对齐来完全避免这种情况（要么将它们更改为=s，=r要么完全省略aspf和adkim术语）。

如果您遇到使用 DMARC 取证报告的转发地址的问题（其 _dmarc DNS 记录将包含一个ruf=mailto:术语），那么您可以尝试联系该系统的邮件管理员，看看他们是否会向您发送故障取证报告的副本。抛硬币，很多地方都不会打扰，但如果您能让某人向您发送故障取证报告的副本，那么您就会确切地了解他们的服务器拒绝该消息的原因。

对于评论来说，这有点太多了（如果它有效，它就是答案）。但如果不是，请告诉我，这样我就可以修改这个答案，让人们知道它没有用。

NOTE :: for anyone asking for email help):: While I did try to still obscure the messaging domains, since @Ben went through the effort to dummy them in the headers, this isn't useful for privacy or diagnostics. As you can see, I had to work to figure out what the actual domains were (IPs are still listed, so it was do-able) so that I could lookup the SPF and DMARC records for the domains involved. So obscuring isn't helpful for diagnostics. And, email is a public transit system -- as in, everything is designed to work & maintain security in a "white box" fashion where the public is knowledgeable about the interactions. Obscuring public hostnames & IPs in a email header doesn't actually give you any extra security. (Do feel free to redact internal-only hostnames & IPs from within your system, that is a valid approach.) Nothing against Ben here, just noting for anyone seeing this in the future that obscuring already public information doesn't really do anything except slow down the person working to research the issue.

Answer 1

好的，如果我没看错的话，邮件是从@st***er.comgmail 发往的（DMARC 通过了：第 27 行）。然后 Gmail 已配置为自动转发到一个@ne***rt.net地址（同样，这似乎通过了 DMARC：第 9-13 行）。

此设置中的所有内容都表明应该正在工作。而且，由于您收到了一封电子邮件，因此您可以查看标题，因此我进一步假设这是真的（邮件已送达）。

我快速检查了 DMARC 记录_dmarc.st***er.com，发现您有严格的启用对齐（“... adkim=s; aspf=s...”）。虽然这应该没什么问题（再次强调，您发布的邮件头的 gmail 测试表明一切正常；至少就 SPF/DKIM/DMARC 而言），但坚持严格对齐可能会给 ne***rt.net 邮件服务器带来麻烦。这表明 ne***rt.net 可能是问题发生的地方；但您可以通过使用宽松对齐来完全避免这种情况（要么将它们更改为=s，=r要么完全省略aspf和adkim术语）。

如果您遇到使用 DMARC 取证报告的转发地址的问题（其 _dmarc DNS 记录将包含一个ruf=mailto:术语），那么您可以尝试联系该系统的邮件管理员，看看他们是否会向您发送故障取证报告的副本。抛硬币，很多地方都不会打扰，但如果您能让某人向您发送故障取证报告的副本，那么您就会确切地了解他们的服务器拒绝该消息的原因。

对于评论来说，这有点太多了（如果它有效，它就是答案）。但如果不是，请告诉我，这样我就可以修改这个答案，让人们知道它没有用。

NOTE :: for anyone asking for email help):: While I did try to still obscure the messaging domains, since @Ben went through the effort to dummy them in the headers, this isn't useful for privacy or diagnostics. As you can see, I had to work to figure out what the actual domains were (IPs are still listed, so it was do-able) so that I could lookup the SPF and DMARC records for the domains involved. So obscuring isn't helpful for diagnostics. And, email is a public transit system -- as in, everything is designed to work & maintain security in a "white box" fashion where the public is knowledgeable about the interactions. Obscuring public hostnames & IPs in a email header doesn't actually give you any extra security. (Do feel free to redact internal-only hostnames & IPs from within your system, that is a valid approach.) Nothing against Ben here, just noting for anyone seeing this in the future that obscuring already public information doesn't really do anything except slow down the person working to research the issue.

Gmail 使用 DMARC 软退回转发的邮件

答案1

相关内容