DMARC 报告称,我们的一小部分电子邮件来自谷歌、微软和其他一些提供商。
DMARC 还报告称,其中很大一部分电子邮件既未通过 SPF 测试,也未通过 DKIM 测试,因此也未通过 DMARC 测试。
我们不使用这些提供商来发送电子邮件,因此猜测这些统计数据反映了转发的电子邮件和欺骗邮件。
显然,SPF 对于转发和欺骗电子邮件会失败,但一些合法的 DKIM 标头是否有可能在传输过程中被损坏?
问题,
将谷歌和微软的 SPF 主机包含在我们的 SPF 记录中以帮助传递那些转发的电子邮件的 DMARC 是否有意义,即使我们不使用它们来发送电子邮件?
我不愿意这样做,因为这违背了 SPF 的精神并且会帮助欺骗者。
或者我们是否可以确信这些失败的 DMARC 反映了欺骗,并且在大多数转发情况下 DKIM 标头都完好无损地传递?
答案1
绝对不是。听起来 SPF/DKIM/DMARC 完全按照您的预期运行。
您的 SPF 记录应该仅包含您实际用于使用您的域名发送的主机。
那些显示微软和谷歌源电子邮件的报告几乎肯定与使用这些服务的垃圾邮件有关,所以你最不希望发生的事情是第三方“从”你的域接收垃圾邮件,查找你的 SPF 记录,然后接受这些消息,因为你的 DNS 记录告诉他们这一定是合法的。
我能想到的唯一另一种情况是,如果您组织中的某人(或为您的组织工作的人)在您不知情的情况下使用 Microsoft/Google 服务,并使用其中一种服务发送电子邮件。在这种情况下,目前他们将无法送达,直到他们通知 IT 他们在做什么,以便您可以添加适当的记录。但我永远不会根据 DMARC 报告添加 SPF 记录,只有当我知道合法电子邮件确实来自那里时才会这样做。
另请注意,转发的电子邮件不会导致这种情况,因为转发的工作方式并非如此,除非用户愚蠢到将您的域中的电子邮件转发到他们的 Google 帐户,然后将 Google 帐户设置为也将电子邮件转发到其他地方。但不建议进行这样的转发,在我看来,如果这些电子邮件没有到达预期的收件人,那是转发设置不当的人的问题,而不是您和您的整个组织的问题。
答案2
尽量简化您的 SPF 记录 — 不要在其中添加过多的授权发送源。使用多个主机加载您的 SPF 记录可能会导致错误,从而导致电子邮件接收者忽略您的邮件。这可能会影响您的发件人声誉和送达率。