我已经在我的域中设置了 SPF、DKIM 和 DMARC(尽我所能),但我仍然可以发送欺骗性的电子邮件 - 没有 DKIM 签名 - 并且它们被接受(至少当我使用 GMail 测试时 - 我认为他们对此最为严格(2))。当我从非 SPF 批准的 SMTP 服务器欺骗我的域时,GMail 会隔离它,但由于我们在工作中使用公共 SMTP 发件人(例如 Mailgun 和朋友(1)),SPF 不能成为最后一道防线 - 据我所知,DKIM 应该是最后一道防线。
我已经正确设置了我的 DKIM 密钥,并且签名的电子邮件得到了正确的验证(当 GMail 收到电子邮件时我检查了电子邮件标题并且它看起来很好),并且我已经设置了 DMARC 如下:
$ dig txt _dmarc.mydomain.com
;;...
;; ANSWER SECTION:
_dmarc.mydomain.com. 300 IN TXT "v=DMARC1; p=quarantine; rua=mailto:[email protected];"
但是随后通过 DNSExit 发送一封欺骗性(即未签名)的电子邮件(为了完成,使用一个不是我公司的 DNSExit 帐户的免费帐户,但这并不重要) - GMail 接受它来自我的域并且不会隔离它,也不会用任何类型的警告标记它。
以下是 GMail 收到的电子邮件的相关标题:
ARC-Authentication-Results: i=1; mx.google.com;
spf=pass (google.com: domain of [email protected] designates x.x.x.x as permitted sender) [email protected];
dmarc=pass (p=QUARANTINE sp=QUARANTINE dis=NONE) header.from=mydomain.com
那么看起来 GMail 甚至没有检查过 DKIM?
我曾在某处读到过(虽然不是我在邮件服务提供商处看到的任何 DKIM 设置说明)——值得注意的是这个 serverfault 问题您需要在域的顶级_domainkey记录中使用“域策略记录”,但这没有任何作用 - 并且如这个 serverfault 答案它已被淘汰了(?)
我真的希望公共(合规)邮箱服务器停止接受据称从我的域发送的非 DKIM 签名的电子邮件 - 我该怎么做?
(1)需要身份验证但并不总是正确验证域所有权的公共 SMTP 发件人(或者根本无法验证,我正在查看您 - DNSExit)。
(2) 后来我使用 outlook.com 进行了测试,它显然确实隔离了我的欺骗性电子邮件,并添加了此标题:Authentication-Results: spf=permerror (sender IP is X.X.X.X) smtp.mailfrom=mydomain.com; dkim=none (message not signed) header.d=none;dmarc=fail action=quarantine heaader.from=mydomain.com;compauth=fail reason=000。为什么 GMail 不是安全堡垒?
答案1
DMARC
不幸的是,您似乎假设DMARC需要SPF和DKIM才能通过(或DKIM在任何情况下都需要通过)才能通过DMARC检查。事实并非如此,它需要通过SFP- 或 - 通过DKIM,与您的发送域(在标题中)保持一致From。就DMARC政策执行而言,Gmail 的行为似乎完全符合预期。从接受的 Gmail 邮件中的 Authentication-Results 标题中应该可以清楚地看出此评估。
防晒指数
如果您不信任或无法信任公共 SMTP 服务,尽管它们确实要求您证明域所有权,但您可以从域的 SPF 记录中省略其服务 IP 范围(通过包含或其他方式)。或者,?在包含前面使用中性机制 ( ),既不表示通过,也不表示失败。
DomainKeys 与 DKIM
您描述的顶级_domainkey记录是 DKIM 的前身技术的一部分,称为‘域名密钥’。DKIM 不再依赖此策略记录。据我所知,现在没有 ESP 还依赖这项技术。
Outlook.com
Outlook.com 隔离了您的邮件(发送到垃圾邮件文件夹?),不是因为缺少 DKIM 签名,而是因为无法评估您的SPF记录(PermError)- 并且 - 缺少对齐的DKIM签名。这通常表示您的 DNS 记录中存在语法错误。