一两个月以来,我一直在使用 dmarcian 和 dmarcanalyzer 监控我们的 DMARC 是否符合政策“p=none”。我注意到,当我们发送大型电子邮件营销活动(10,000 封以上电子邮件)时,似乎来自该活动的未通过 DMARC 的邮件数量激增。
我的公司使用 Pardot 向客户发送营销电子邮件,而 Pardot 使用5321.邮件发件人地址的域名为“bounce.s7.exacttarget.com”。
我们在 Pardot 中正确设置了 DKIM 密钥,并且在我们的域上设置了 SPF 记录,允许他们的服务器代表我们发送邮件。我还知道,由于 Pardot 电子邮件是从“bounce.s7.exacttarget.com”发送的,因此我们永远不会与 SPF 的 DMARC 保持一致。
问题是,如果我们给客户发 10,000 封电子邮件,我只会看到DMARC 汇总报告成功(使用 DKIM)1,000-1,500 封电子邮件。(我认为只有一部分邮件服务器发送汇总报告是正常的?)我看到DMARC 汇总报告失败适用于 100-500 封电子邮件。
其中许多显示我们的域的 DKIM 失败,这令人费解,许多显示完全不同的域的 DKIM 失败。我查找了一些 DKIM 失败的域,这些域的数字似乎与通过我们的活动发送到该域的电子邮件相匹配。这听起来像是电子邮件到达了邮件服务器,然后被转发,从而破坏了 DKIM 签名。
你觉得这听起来可能吗?
当可能存在转发时,我如何让合法的营销电子邮件通过 DMARC 发送给我们的客户?
答案1
一些想法:
我只希望看到发送给 Gmail、Hotmail、Yahoo 和 AOL 等大型消费者提供商的邮件的 DMARC 汇总报告。您将看到来自其他域的少量汇总报告,但可能不到您出站电子邮件的 1%。如果 1500/10000 是邮件列表中这些消费者提供商的正确比例,那么您就不会丢失任何数据。
您需要调查这 100-500 个邮箱的具体故障,以确定是否有任何可以修复的地方。幸运的话,其中可用的百分比将来自 Microsoft,除了 XML 之外,您还可以获得 FBR。如果没有,您需要在其他提供商处创建一些虚拟邮箱,看看您是否可以捕获失败的消息并对其进行分析。
您说得完全正确,您发送的域的 DKIM 故障很可能是转发器导致的。我熟悉两种主要情况:要么域确实转发并重新签收了您的消息,原因是域本身的配置,要么 Google 内部转发了消息并破坏了签名。您无需担心后者 - 如果报告的 IP 地址是 Google 内部的,并且它们是在 Google 报告中发送的,这(不幸的是)很正常。(您还可以查找这些域的 MX,看看它们是否是 Google。)但是,如果报告的 IP 地址不是 Google,您可以假设您的消息是由一个破坏了它的转发器转发的。
如果您使用 Agari(免责声明 - 前雇员)之类的服务,通常可以非常轻松地对数据进行分类,找出需要担心的数据。如果您以某种方式手动执行此操作,我建议将所有出现双重失败(DKIM 和 SPF 均失败)的 IP 提取到一个列表中,然后将 FBR 与列表关联起来,看看是否还有任何可以修复的剩余问题。
在我看来,1500 份 DMARC 报告中有 100-500 份失败率太高了。我怀疑这里面有些东西是可以修复的。SPF 的失败率 < 2-4%,DKIM 的失败率 < 2-4%,通常意味着总失败率 < .5%,这一般被认为是可以接受的,当然,您的情况可能会有所不同 :D