0

我们正在发送电子邮件。我们每天要发送数千封电子邮件,因为我们的客户希望得到我们的通知(我们确实得到了他们的同意;))。

我们刚刚启用了 p=none 的 DMARC,看看会发生什么。它来了:

<?xml version="1.0"?>   
<feedback>  
  <report_metadata> 
    <org_name>Yahoo! Inc.</org_name>    
    <email>postmaster@dmarc.yahoo.com</email>   
    <report_id>report.id.here</report_id>   
    <date_range>    
      <begin>1545350400</begin> 
      <end>1545436799</end> 
    </date_range>   
  </report_metadata>    
  <policy_published>    
    <domain>our-email-domain.tld</domain>   
    <adkim>r</adkim>    
    <aspf>r</aspf>  
    <p>none</p> 
    <pct>100</pct>  
  </policy_published>   
  <record>  
    <row>   
      <source_ip>209.85.221.48</source_ip>  
      <count>1</count>  
      <policy_evaluated>    
        <disposition>none</disposition> 
        <dkim>pass</dkim>   
        <spf>fail</spf> 
      </policy_evaluated>   
    </row>  
    <identifiers>   
      <header_from>our-email-domain.tld</header_from>   
    </identifiers>  
    <auth_results>  
      <dkim>    
        <domain>gmail.com</domain>  
        <result>neutral</result>    
      </dkim>   
      <spf> 
        <domain>gmail.com</domain>  
        <result>pass</result>   
      </spf>    
    </auth_results> 
  </record> 
  <record>  
    <row>   
      <source_ip>212.227.15.3</source_ip>   
      <count>1</count>  
      <policy_evaluated>    
        <disposition>none</disposition> 
        <dkim>pass</dkim>   
        <spf>fail</spf> 
      </policy_evaluated>   
    </row>  
    <identifiers>   
      <header_from>our-email-domain.tld</header_from>   
    </identifiers>  
    <auth_results>  
      <dkim>    
        <domain>srs.web.de</domain> 
        <result>neutral</result>    
      </dkim>   
      <spf> 
        <domain>srs.web.de</domain> 
        <result>pass</result>   
      </spf>    
    </auth_results> 
  </record> 
  <record>  
    <row>   
      <source_ip>212.227.15.3</source_ip>   
      <count>1</count>  
      <policy_evaluated>    
        <disposition>none</disposition> 
        <dkim>pass</dkim>   
        <spf>fail</spf> 
      </policy_evaluated>   
    </row>  
    <identifiers>   
      <header_from>our-email-domain.tld</header_from>   
    </identifiers>  
    <auth_results>  
      <dkim>    
        <domain>web.de</domain> 
        <result>neutral</result>    
      </dkim>   
      <spf> 
        <domain>web.de</domain> 
        <result>pass</result>   
      </spf>    
    </auth_results> 
  </record> 
  <record>  
    <row>   
      <source_ip>OUR.MX.IP</source_ip>  
      <count>175</count>    
      <policy_evaluated>    
        <disposition>none</disposition> 
        <dkim>pass</dkim>   
        <spf>pass</spf> 
      </policy_evaluated>   
    </row>  
    <identifiers>   
      <header_from>our-email-domain.tld</header_from>   
    </identifiers>  
    <auth_results>  
      <dkim>    
        <domain>our-email-domain.tld</domain>   
        <result>neutral</result>    
      </dkim>   
      <spf> 
        <domain>our-email-domain.tld</domain>   
        <result>pass</result>   
      </spf>    
    </auth_results> 
  </record> 
  <record>  
    <row>   
      <source_ip>77.238.176.162</source_ip> 
      <count>1</count>  
      <policy_evaluated>    
        <disposition>none</disposition> 
        <dkim>pass</dkim>   
        <spf>fail</spf> 
      </policy_evaluated>   
    </row>  
    <identifiers>   
      <header_from>our-email-domain.tld</header_from>   
    </identifiers>  
    <auth_results>  
      <dkim>    
        <domain>our-email-domain.tld</domain>   
        <result>neutral</result>    
      </dkim>   
      <spf> 
        <domain>our-email-domain.tld</domain>   
        <result>softfail</result>   
      </spf>    
    </auth_results> 
  </record> 
</feedback>

这是雅虎的一份报告,我看到谷歌和许多其他 ESP 的报告非常相似。

  1. 209.85.221.48 - 谷歌转发电子邮件到雅虎?
  2. 212.227.15.3 - web.de 从不同的主机两次转发到 Yahoo ??
  3. 77.238.176.162 - 雅虎主机转发到另一个雅虎主机???

当我转为 p=quarantine 时,所有这些电子邮件会发生什么?我可以理解如果一个人想从他的所有邮箱中接收电子邮件。我无法理解 - 为什么 ESP 在他们自己的主机之间传输消息时分析 DKIM/SPF?在这种情况下,策略应该失败,如果 p=quarantine,收件人将在垃圾邮件中收到它,不是吗?

4

1 回答 1

1

要回答您的具体问题:

  1. 是的,这似乎是对的。
  2. 是的,这似乎是对的。
  3. 是的,这似乎是对的。

这些情况何时发生的例子有很多。在您的个人邮箱中接收工作电子邮件的简单转发规则就是其中之一。另一种是当您的公司(作为收件人)使用 GSuite 并使用群组(分发列表)将电子邮件转发到他们的最终目的地,即用户时。Google 也将在 DMARC 中对此进行报告。

另一种常见情况是外部电子邮件安全过滤器将入站电子邮件转发到检查 DMARC 合规性并发送报告的电子邮件服务器。

当我转为 p=quarantine 时,所有这些电子邮件会发生什么?

通常,当 SPF或DKIM 生成与Header.From域对齐的通过结果(<identifiers>在 XML 报告的节点中找到)时,DMARC 将通过。这些结果列在<policy_evaluated>节点中。

在您的所有示例中,<policy_evaluated>结果显示 DKIM Pass 结果,因此它应该通过 DMARC。但是,在您的示例中,<auth_results>节点中的所有 DKIM 评估都显示了neutralDKIM 的结果,包括从您的 MX 记录 IP 地址发送的结果。

RFC 7601neutral对 DKIM 的结果声明如下:

中性:消息已签名,但签名包含语法错误或无法以其他方式处理。此结果也用于此列表中其他地方未涵盖的其他故障。

这可能是 Yahoo 的 DKIM 检查器的特定问题,但最好也检查 Google(和其他)DMARC 报告中的 DKIM 状态。

最后的建议:在转移到 p=quarantine 之前,去检查其他 DMARC 报告中的 DKIM 结果。

于 2019-01-10T12:13:42.500 回答