我不明白以下 Google DMARC 报告向我们的域名发送的失败结果。
我知道 SPF 失败是因为 IP 地址不是我们的,但是如果是这样,DKIM 怎么会通过呢?
<org_name>google.com</org_name>
<email>[email protected]</email>
<extra_contact_info>https://support.google.com/a/answer/2466580</extra_contact_info>
<report_id>8147166519871402641</report_id>
<date_range>
<begin>1661040000</begin>
<end>1661126399</end>
</date_range>
</report_metadata>
<policy_published>
<domain>mydomain.com</domain>
<adkim>r</adkim>
<aspf>r</aspf>
<p>reject</p>
<sp>reject</sp>
<pct>100</pct>
</policy_published>
<record>
<row>
<source_ip>ip.address.that.is.not.ours</source_ip>
<count>1</count>
<policy_evaluated>
<disposition>none</disposition>
<dkim>pass</dkim>
<spf>fail</spf>
</policy_evaluated>
</row>
<identifiers>
<header_from>mydomain.com</header_from>
</identifiers>
<auth_results>
<dkim>
<domain>mydomain.com</domain>
<result>pass</result>
<selector>default</selector>
</dkim>
<spf>
<domain>mydomain.com</domain>
<result>fail</result>
</spf>
</auth_results>
</record>
答案1
一种可能性是,您最初发送的有效邮件被重新发送。垃圾邮件发送者这样做的可能性确实不大,而且毫无意义,但如果没有更多信息,这是值得考虑的可能性之一。
这被称为重放攻击。你可以在网上找到更多关于这个术语的信息。
RFC 6376 有一节专门讨论这个问题(https://www.rfc-editor.org/rfc/rfc6376#section-8.6) 以及可能相关的进一步安全考虑。
答案2
如果有人设置了您发送邮件的邮箱,以便将其转发给 Google,Google 会将您仍然有效的签名报告给您,报告中的 IP 会指定转发链上的最后一个非 Google 跳转。
如果您想将其限制在合理的使用情况下,请确保您已对Date
标头进行签名。如果您这样做,Google 可以对稍后重新发送的邮件应用其通常的垃圾邮件缓解措施。
答案3
谷歌告诉你,他们使用 DKIM 选择器default
来验证电子邮件上的数字签名,确实如此它确实验证了。这只有在服务器不是我们的 IP 地址具有与您在 DNS 上发布的 DKIM 记录上的公钥相对应的私钥。
请注意,该记录表明 DMARC经过也(即邮件已送达)。这是因为 DKIM 已通过,并且域已对齐。换句话说,电子邮件已送达。在这方面没有任何失败。
现在如果担心为什么DKIM 通过,那么您可能需要开始调查服务器不是我们的 IP 地址。正如我所说,理论上服务器只有能够访问 DKIM 选择器私钥才能生成有效签名。