我最近为我的一个域名添加了一条 DMARC 记录。我们将其命名为mydomain.com:
v=DMARC1;p=none;rua=mailto:[email protected];ruf=mailto:[email protected];fo=1"
这几天我一直在收到报告,但有一些记录我不太明白。例如:
<record>
<row>
<source_ip>217.72.192.73</source_ip>
<count>1</count>
<policy_evaluated>
<disposition>none</disposition>
<dkim>pass</dkim>
<spf>fail</spf>
</policy_evaluated>
</row>
<identifiers>
<header_from>mydomain.com</header_from>
</identifiers>
<auth_results>
<dkim>
<domain>mydomain.com</domain>
<result>pass</result>
<selector>2014</selector>
</dkim>
<spf>
<domain>srs2.kundenserver.de</domain>
<result>pass</result>
</spf>
</auth_results>
</record>
我的 SPF 记录才不是包括217.72.192.73或srs2.kundenserver.de,我以前从未听说过或使用过此服务器发送电子邮件,因此可以肯定这是有人试图伪造来自的电子邮件mydomain.com。它会报告 SPF 已通过但未对齐也是可以理解的。但是,我想知道的是它是如何通过 DKIM 的?
我的域的 DNS 中有以下条目:
2014._domainkey.mydomain.com. IN TXT ( "v=DKIM1; k=rsa; t=s; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEArbY9HBzct5lz6"
"43Wv4pnudx+Ei6/YKifIr+AIUi5mpNGOYu6P81ooIJozVlY8flLSseurs8CFDuvs1j7FznUyrfVuYE/g"
"6uD17VSaZwqfciW9wBdN25ruM0wRX+9tC7p8IDBUo1hJhrk5ngiwJpz/jpcXmfTjQdbE1M+yMrujUFNC"
"vMqS2YAaAqVYPe4TMgpRum23oZm9PX0iqgkShiUXzNLzTM8NIaWXrHPnBaeKoNChbPZlHPCyvLqbJbRJ"
"L+bj3P7B+9Pey04xbi2SalqH1XNLKU20Nd4wZAQAVHFvUoyj2XAzaOQnRSLavDCUYgBpt/Y9u9oAU+mb"
"Cg2SLWzrQIDAQAB" )
从报告中我们可以看到,匹配的选择器是2014,它来自此 DNS 条目。
由于这封电子邮件可能不是由我服务器的私钥签名的,所以它不应该是吗fail?这是否意味着有人可能已经获得了我的私钥?奇怪的是,有 5 条记录是由我的 SPF 记录中未列出的服务器发送的电子邮件,所有这些记录都将 DKIM 列为“已通过”。我没有任何 DKIM 失败报告。
答案1
当你看到DKIM=通过但SPF=失败(IP 不在 SPF 记录覆盖的范围内)这可能表明您的邮件已被您在 XML 报告中看到的 IP 服务器自动转发。
在您的特定情况下,您的一个电子邮件收件人在 1&1 主机上拥有邮箱(kundenserver.de 域属于他们),并且该邮箱已主动转发到其他地址。
如果你看看“组织名称“标签(聚合报告馈送器)您将知道谁是电子邮件的最终收件人。您可能会看到一些可能的值:“google.com”、“雅虎公司”、“AMAZON-SES”、“comcast.net”、“emailsrvr.com”、“FastMail Pty Ltd”、“Mail.Ru”...
所以,无需担心。此外,如果您怀疑您的私钥泄露,您可以随时重新生成 DKIM 密钥以进行邮件签名,并在 DNS 中更新 DKIM 公钥。
为了让生活更轻松,我建议部署 DMARC 报告处理和分析解决方案之一,列在DMARC.org网站:
当您为您的域部署 DMARC 时,您将获得用于从您的域发送电子邮件的所有电子邮件源的整体情况,包括 SPF、DKIM 和 DMARC 身份验证状态。
我建议你尝试一下易达信,因为从 2018 年初就开始使用它了。