许多人补充说 '另一个电子邮件地址作为别名'对于他们的 Gmail 帐户 - 这里讨论的是公共 Gmail 而不是 Google Apps - 他们可能使用 Gmail 服务器而不是他们的域服务器作为 SMTP'视为“别名”设置'。虽然 DMARC 不会因“无”而导致任何问题,但由于 DMARC p="reject" 或 p="quarantine",当 Gmail 使用“其他地址”发送邮件时,它会导致邮件被 Hotmail、Yahoo 和其他服务器拒绝。
以下是被拒绝消息的示例:
被雅虎拒绝,
Delivery to the following recipient failed permanently:
[email protected]
Technical details of permanent failure:
Google tried to deliver your message, but it was rejected by the server for
the recipient domain ymail.com by mta6.am0.yahoodns.net. [98.136.216.26].
The error that the other server returned was:
554 5.7.9 Message not accepted for policy reasons.
See http://postmaster.yahoo.com/errors/postmaster-28.html
被 Hotmail 拒绝
Delivery to the following recipient failed permanently:
[email protected]
Technical details of permanent failure:
Google tried to deliver your message, but it was rejected by the server for
the recipient domain msn.com by mx3.hotmail.com. [65.55.37.72].
The error that the other server returned was:
550 5.7.0 (COL0-MC1-F8) Unfortunately, messages from (209.85.216.195) on
behalf of (any-domain-com) could not be delivered due to domain owner
policy restrictions.
尽管 DMARC 记录效率很高,但我们仍然无法采取任何解决方法,只能要求接收者将这些服务器列入白名单作为“已知转发器”,但这不是一个解决方案!
有谁知道在 Gmail 中继续使用具有 DMARC 拒绝和隔离策略的此类功能的另一种方法吗?
更新:
该域的 SPF 设置为不允许所有其他内容:
域名 SPF v=spf1 mx include:somehost.net -all (使用时相同 ~all 或甚至 inclode:_spf.google.com)
somehost.net SPF ip4:1.2.3.4 ip4:5.6.7.8 -全部
域和主机的 DKIM 和 SPF 用于接收通过结果以及用于到达 Yahoo 和 Hotmail 的消息,直到为域的 DMARC 设置“拒绝”策略。
当我将 Gmail 中的“视为别名”更改为“使用域 SMTP 服务器”时,它肯定会正常发送。
Yahoo 自定义发件人帐户也发生同样的事情... 其他提供商会反弹消息。
更新 2
我在 dmarc-discuss 上开启了一个讨论,得到的回复是“没办法(这是 dmarc 的一个功能)”... 看看这里 medusa.blackops.org/pipermail/dmarc-discuss/2013-March/001684.html 和这里 medusa.blackops.org/pipermail/dmarc-discuss/2013-March/001692.html ... 非常糟糕 :( .. 那我就不用了
答案1
听起来您想绕过 dmarc 记录中所述的政策。当该政策规定所有使用该域的邮件都由受该域控制的邮件服务器发送时,效果最明显。这应该适用于银行、航空公司、快递公司、政府和其他需要防止地址欺骗的发件人。
如果您确实需要使用其他域从 GMail 发送邮件,则该域需要将 Google 添加为有效来源或使用“无”等弱策略。如果您从受保护的域向邮件列表发送邮件,则可能会遇到类似的问题。
编辑:回复标头对于处理代表他人发送邮件的情况很有用。发件人标头应包含真实发件人。回复地址应为请求方的地址。DMarc 政策将适用于真实发件人并遵循其欺骗政策。我检查过,GMail 不允许使用回复标头。(太多自动发件人不采用这种方法。)
要将 GMail 添加到您的 SPF 记录,请遵循重定向和包含路径。我希望您可以只包含,_netblocks.google.com尽管您需要_netblocks2.google.comIPv6 支持。我认为您的策略会覆盖包含的?all策略。
为邮件列表和第三方发件人使用单独的域或子域也是一个选择。为此域设置更宽松的策略。为代表您发送邮件的每个组织提供单独的子域是一个不错的策略选项。这将允许您快速隔离与特定组织相关的问题。
我实施了 SPF,以应对我控制的域名遭受的大量垃圾邮件欺骗。一天之内,流量显著减少,一周之内流量降至最低。最后,剩余的流量都是发送到已收集地址的垃圾邮件。
虽然有些人认为 DMarc 是一种垃圾邮件减少工具,但它实际上是一种反欺骗工具。因此,它可以打破一些极端情况,例如邮件列表和发件人使用第三方主机发送邮件。就我而言,我提供了从网络外部对 WebMail、IMap 和邮件提交的安全访问。
减少欺骗可能会减少垃圾邮件的数量,但这只是因为发件人(垃圾邮件机器人)无法伪装成他们自己。目前,SPF HELO 检查正在阻止声称自己在google.com附近的垃圾邮件机器人。
答案2
你需要包括 Google 的 SPF 记录在您自己的域的 SPF 记录中,表明 Google 的邮件服务器是您的域的有效发件人。
例如:
v=spf1 a mx include=_spf.google.com -all