我的公司有两个独立的 Google Workspace 帐号,每个帐号都与一个独立的域相关联(我们称之为domainA和domainB)。
员工在两个域中都分配有电子邮件地址。
如果[email protected]发送[email protected]日历邀请,并[email protected]通过 Gmail 网络客户端回复该日历邀请电子邮件,他会收到一条自动回复,内容为:
消息被阻止
您发送的消息
[email protected]已被屏蔽。请参阅下面的技术细节以了解更多信息。答复是:
由于域的 DMARC 政策,未经身份验证的电子邮件不会被接受。如果这是一封合法邮件,
domainB.com请联系域管理员。请访问domainB.comhttps://support.google.com/mail/answer/2451690了解 DMARC 计划。
我已阅读提供链接,这表明我们需要创建并发布 DMARC 策略。但是,考虑到这两个都是 Google Workspace 帐户,似乎有一个更简单的解决方案——最好是一个影响半径较小的解决方案,而不是广泛更改我们的电子邮件身份验证逻辑。
在我陷入这个兔子洞之前,是否有一个简单的解决方案?
答案1
TL,DR:
- 确保在两个域名上都设置了 DKIM,使用 Google 提供的 DKIM 选择器记录Google Workspace > Gmail 设置 > 验证电子邮件
- 在上述同一页面上启用使用您的域名进行签名
长答案
由于域的 DMARC 政策,来自 domainB.com 的未经身份验证的电子邮件不被接受。如果这是一封合法邮件,请联系 domainB.com 域的管理员。请访问https://support.google.com/mail/answer/2451690了解 DMARC 计划。
上面的消息表明domainB.com确实已经有了 DMARC 记录。并且其策略设置为拒绝未通过 DMARC 检查的电子邮件。
您可以使用本地 DNS 工具查询 TXT 记录_dmarc.domainB.com(例如dig _dmarc.domainB.com txt)来检查。您还可以使用https://toolbox.googleapps.com/apps/dig/#TXT/为了那个原因。
domainA.com现在,发往 的电子邮件domainB.com被拒绝,因为 SPF 和 DKIM 均未通过和从 DMARC 的角度来看,保持一致。保持一致意味着 SPF 或 DKIM 通过,并且通过检查的域是domainA.com(可能是其子域,具体取决于您如何配置 DMARC)。
话虽如此,Google 日历邀请回复默认通过来自 Google 域的信封发送。这不会通过 DMARC,因为 SPF 与你的域。据我所知,Google Workspace 上没有选项可以更改这一点。
另一方面,可以在 Google Workspace 上设置 DKIM 来签署电子邮件和使用您的域名。此设置将由 Google 应用使用,它将使 DKIM 签名与“发件人”标头对齐。这将使 DMARC 通过。
因此,要解决这个问题,您需要:
确保在
domainA.com的 DNS 上设置了 DKIM 记录,其值由 Google 提供。该记录必须位于页面中显示的地址 (google._domainkeys.domainA.com)。确保您确实启用了 DKIM 签名。您可以通过点击“开始身份验证”按钮来执行此操作,否则某些 Google 应用不会使用您的域发出 DKIM 签名。这一点并不完全明显,人们似乎忘记了最后一步。使用 Gmail 和其他 Google 应用发送的电子邮件仍可在不启动身份验证的情况下正常工作(请参阅Google 日历邀请未通过 DMARC 检查如果您想知道原因,请单击此处,这有助于掩盖问题。启用使用您的域进行签名(即“开始”按钮)可以改变这种情况。