有没有办法强制 DMARC 失败/拒绝未通过 DKIM 和 SPF 的邮件?
我们一直在缩小失败的数量,但是我们的汇总(rua)报告中有一些域仅通过了 DKIM,我们宁愿它们未能通过我们的 DMARC,因为我们无法识别它们。
我们确实认识的域是完全一致的。
我们的最终目标是,除非完全一致(DKIM 和 SPF),否则邮件将被拒绝
答案1
根据 DMARC 的基本假设,没有人能够通过任何一个除非邮件来自您控制的服务器,否则请将 DKIM 或 SPF 测试作为您的域。通过其中任何一项测试就足以确认这一点。
因此,没有办法强制 DMARC 要求两者通过,也没有理由这样做。
如果第三方能够以您的身份通过 DKIM 测试,而您并未授权他们,则您存在安全问题,而这正是您需要解决的问题。
首先,确保您没有在解读所见报告时犯错误。它们是否经过 DKIM 签名,但使用的域名不是您的?如果是这样,您无需执行任何操作。但如果未经您授权的电子邮件经过 DKIM 签名你的域,这表明你做错了什么。
要采取的步骤:
生成一个新的 DKIM 密钥,开始使用它进行签名,并从 DNS 记录中删除对旧密钥的引用(保留旧的 DNS 记录将允许继续使用旧密钥)。
确保 DKIM 密钥的私有部分安全。默认情况下,它应该对服务器上除 root 之外的所有人隐藏。请保持这种状态。
确保您没有对来自不受信任来源的邮件进行签名。您只应向来自您和您的用户的邮件添加 DKIM 签名。
如果使用 OpenDKIM,则由 InternalHosts 选项控制,并且您还应确保在通过本地过滤器或代理传递邮件后不会重新运行 OpenDKIM,这会使邮件看起来像是来自内部。
答案2
DMARC 按照设计工作;如果 SPF 或 DKIM 中至少有一个通过(且对齐),则邮件将通过 DMARC 并被传递。最有可能的是,未通过 SPF 但通过 DKIM(签名有效且对齐)的邮件是已转发的邮件。(转发的邮件将未通过 SPF,而 DKIM 签名可以经受住转发。)
答案3
不,DMARC 设计为只需要 DKIM + ADKIM 或 SPF + ASPF 通过。
没有要求同时要求两者。
我很难理解 DKIM 如何通过对齐测试,如果 d= 键与 from 不匹配,那么它将无法通过 ADKIM 测试。
看一下这里的标识符如何匹配:DMARC 电子邮件标识符
即使您没有在 DMARC 记录中指定 adkim,它也会默认为“Relaxed”,这仍然不会排队。