我们最近增加了隔离政策,并考虑拒绝 - 但我们偶然发现了一个问题,我们似乎无法确定其根本原因。具体来说,转发的电子邮件似乎有问题,我们无法找出原因。
我们使用 Mailgun 进行电子邮件管理。我们的 SPF 设置为:
v=spf1 包括:_spf.google.com 包括:mailgun.org ~all
我们的 DMARC 设置为:
v=DMARC1;p=隔离;sp=无;adkim=r;aspf=r;pct=100;fo=0;rf=afrf;ri=600;rua=mailto:[电子邮件保护]
我们最新的 DMARC 报告如下(以 PDF 格式放入我们的一个域中,以保留格式):https://www.insurancetrendsresearch.com/DMARC_ITR.pdf
我很想得到帮助,试图了解我们为什么会遭遇 SPF 不一致?看来我们的 DKIM 和 SPF 记录没问题 - 大部分情况下,一切都顺利通过 - 但在某些情况下,我们在转发时失败(至少 DMARCIAN 让我们相信它只是转发)。想知道为什么吗?
需要注意的是 - 我们只从 Google Apps 和 MailGun 发送邮件 - 目前不从其他地方发送。
谢谢,
以利
答案1
此行为是预期行为。DMARC 要求 SPF 或 DKIM 中至少有一个通过身份验证和对齐测试。转发的邮件不会通过 SPF 身份验证;但是,大多数正确转发的邮件都会通过 DKIM 身份验证(只要邮件的签名元素未被更改)。
确保您的邮件使用 DKIM 正确签名,将允许转发的邮件通过 DMARC 对齐测试并传递到收件人的收件箱,尽管由于转发导致 SPF 身份验证失败。
更多信息,请参阅基于域的消息认证、报告和一致性 (DMARC) 与间接电子邮件流之间的互操作性问题。
如果您确信已经识别出 SPF 记录中的所有有效发件人,我还建议从“~all”移动到“-all”。‘~all’表示您的域处于“转换中”(基本上是测试)并且可能尚未识别出 SPF 记录中的所有有效来源,而‘-all’表示您已“转换”(完成测试)任何未列出的发件人都是可疑的。
由于您已发布“p=quarantine”政策,您可能会在“ruf=mailto:...”邮箱中收到取证报告;检查这些取证报告应提供有关错位原因(最有可能是转发)的更多信息。如果是这种情况,您应该有信心转向“p=reject”政策。
继续朝着“-all”的 SPF 策略和“p=reject”的 DMARC 策略(最终目标)迈进;任何低于这个标准的策略都会使您的域名得不到保护。