SPF 和 DKIM 帮助:DMARC 的 FAIL 报告是否表明存在问题?

SPF 和 DKIM 帮助:DMARC 的 FAIL 报告是否表明存在问题?

我无法确定我的 SPF 和 DKIM 是否配置正确。以下是关键细节:

  • 我的域名是mysteryscience.com
  • 我们从 Google Apps、SendGrid 和 Intercom 发送邮件。所有邮件似乎都运行正常,不过我确实听说我们的邮件被标记为垃圾邮件,这也是我调查此事的原因。
  • 我已启用 SPF、DKIM 和 DMARC
  • 我的 SPF 记录在语义上似乎是正确的(在此处检查:http://www.kitterman.com/spf/validate.html
  • 我的 SPF TXT 记录是:v=spf1 ip4:198.21.0.234 include:_spf.google.com include:spf.mail.intercom.io -all
  • 198.21.0.234 是我通过 SendGrid 发送的专用 IP 地址(mail.mysteryscience.com 是我向他们转发的 CNAME)

我已启用 DMARC,并且正在查看从各种邮件服务器收到的电子邮件。在查看来自 Google.com 的结果时,我注意到大量 SPF 和 DKIM 失败。看起来这些可能是我发送的合法电子邮件被拒绝,但我不知道如何读取此文件。以下是一些结果,请注意 < dkim > 和 < spf > 行中的一些“失败”。以下是 XML 文件的 dmarcian 处理版本:https://dmarcian.com/dmarc-xml/details/Ybk591jex3JpVBmW/

<record>
<row>
  <source_ip>207.46.163.143</source_ip>
  <count>1</count>
  <policy_evaluated>
    <disposition>none</disposition>
    <dkim>pass</dkim>
    <spf>fail</spf>
  </policy_evaluated>
</row>
<identifiers>
  <header_from>mysteryscience.com</header_from>
</identifiers>
<auth_results>
  <dkim>
    <domain>mysteryscience.com</domain>
    <result>pass</result>
  </dkim>
  <spf>
    <domain>granderie.ca</domain>
    <result>pass</result>
  </spf>
</auth_results>
</record>
<record>
<row>
  <source_ip>209.85.212.178</source_ip>
  <count>1</count>
  <policy_evaluated>
    <disposition>none</disposition>
    <dkim>fail</dkim>
    <spf>pass</spf>
  </policy_evaluated>
</row>
<identifiers>
  <header_from>mysteryscience.com</header_from>
</identifiers>
<auth_results>
  <spf>
    <domain>mysteryscience.com</domain>
    <result>pass</result>
  </spf>
</auth_results>
</record>
<record>
<row>
  <source_ip>2607:f8b0:4001:c05::232</source_ip>
  <count>1</count>
  <policy_evaluated>
    <disposition>none</disposition>
    <dkim>pass</dkim>
    <spf>fail</spf>
  </policy_evaluated>
</row>
<identifiers>
  <header_from>mysteryscience.com</header_from>
</identifiers>
<auth_results>
  <dkim>
    <domain>mysteryscience.com</domain>
    <result>pass</result>
  </dkim>
  <spf>
    <domain>mail.mysteryscience.com</domain>
    <result>fail</result>
  </spf>
</auth_results>
</record>
<record>
<row>
  <source_ip>198.236.20.44</source_ip>
  <count>1</count>
  <policy_evaluated>
    <disposition>none</disposition>
    <dkim>pass</dkim>
    <spf>fail</spf>
  </policy_evaluated>
</row>
<identifiers>
  <header_from>mysteryscience.com</header_from>
</identifiers>
<auth_results>
  <dkim>
    <domain>mysteryscience.com</domain>
    <result>pass</result>
  </dkim>
  <spf>
    <domain>mail.mysteryscience.com</domain>
    <result>fail</result>
  </spf>
</auth_results>
</record>
<record>
<row>
  <source_ip>209.85.212.175</source_ip>
  <count>1</count>
  <policy_evaluated>
    <disposition>none</disposition>
    <dkim>fail</dkim>
    <spf>pass</spf>
  </policy_evaluated>
</row>
<identifiers>
  <header_from>mysteryscience.com</header_from>
</identifiers>
<auth_results>
  <spf>
    <domain>mysteryscience.com</domain>
    <result>pass</result>
  </spf>
</auth_results>
</record>
<record>
<row>
  <source_ip>209.85.215.44</source_ip>
  <count>1</count>
  <policy_evaluated>
    <disposition>none</disposition>
    <dkim>fail</dkim>
    <spf>fail</spf>
  </policy_evaluated>
</row>
<identifiers>
  <header_from>mysteryscience.com</header_from>
</identifiers>
<auth_results>
  <spf>
    <domain>nurturingwisdom.com</domain>
    <result>fail</result>
  </spf>
</auth_results>
</record>
<record>
<row>
  <source_ip>2607:f8b0:4003:c06::236</source_ip>
  <count>2</count>
  <policy_evaluated>
    <disposition>none</disposition>
    <dkim>pass</dkim>
    <spf>fail</spf>
  </policy_evaluated>
</row>
<identifiers>
  <header_from>mysteryscience.com</header_from>
</identifiers>
<auth_results>
  <dkim>
    <domain>mysteryscience.com</domain>
    <result>pass</result>
  </dkim>
  <spf>
    <domain>ssanpete.org</domain>
    <result>none</result>
  </spf>
</auth_results>

有人能帮我确定这些 SPF 和 DKIM 失败是否有问题吗?

答案1

我根据您提供的结果运行了一些查询spfquery --mfrom mail.mysteryscience.com -ip 2607:f8b0:4001:c05::232。看来您没有配置 SPF 以mail.mysteryscience.com允许 Google 为该域发送电子邮件。这解释了 Google 发送的 SPF 失败。上面的查询基于记录中列出的域。

有些记录确实看起来像垃圾邮件,因此它们应该在列表中。

您可能遇到过类似的问题,电子邮件没有适当的 DKIM 签名。有些可能是垃圾邮件,或者您的投递路径没有使用预期的签名对电子邮件进行签名。

答案2

  1. 在 dmarcian 等地方解析您的 DMARC XML,以便您的信息可供人类阅读
  2. Google 出站网关通向哪里?您配置了网关吗?如果没有,则无需更改。
  3. DKIM 失败,您是否在没有发布公钥的情况下签署了电子邮件?请检查您的 DNS。
  4. 子域名的 SPF 记录,仅当邮件服务器接受电子邮件并发送 NDR 时才需要此功能。典型的子域名记录是:

mail.example.com. IN A 93.184.216.34

mail.example.com. IN TXT "v=spf1 a -all"

相关内容