2

几周前我刚刚设置了我们的域以使用 SPF 和 DMARC,但没有 DKIM atm。但时不时我会收到来自linkedin的 DMARC 失败报告:

This is an email abuse report for an email message received from IP 213.160.4.146 on Tue, 16 Jul 2019 12:34:26 +0000.
The message below did not meet the sending domain's dmarc policy.
The message below could have been accepted or rejected depending on policy.
For more information about this format please see http://tools.ietf.org/html/rfc6591 .

Feedback-Type: auth-failure
User-Agent: Lua/1.0
Version: 1.0
Original-Mail-From: 
Original-Rcpt-To: messages-noreply@linkedin.com
Arrival-Date: Tue, 16 Jul 2019 12:34:26 +0000
Message-ID: <5cd…8b2f@SR-EXC.biv.local>
Authentication-Results: dmarc=fail (p=none; dis=none) header.from=biv-ot.org
Source-IP: 213.160.4.146
Delivery-Result: delivered
Auth-Failure: dmarc
Reported-Domain: biv-ot.org

但我无法检测到任何错误 - IP 地址和域与包含在 SPF 条目中的 MX 记录相匹配。此外,引用的 RFC 6591 不包括身份验证失败“dmarc”。我大约每周收到一次这封邮件,没有其他服务器向我发送过 DKIM 故障报告。知道有什么问题吗?

DNS 条目:

biv-ot.org:
MX:    mail.biv-ot.org
A:     148.251.171.224
SPF:   v=spf1 a mx include:ot-live.zms.hosting a:mout.kundenserver.de ~all
DMARC: v=DMARC1; p=none; ruf=mailto:…; fo=s 

mail.biv-ot.org:
A: 213.160.4.146
4

1 回答 1

2

如简单邮件传输协议 (SMTP) RFC 第 4.5.5 节中所述,这种行为通常通过来自邮件服务器的自动响应(例如 NDR 和外出回复)来见证

在这些情况下,该smtp.mailfrom字段为空,并且在大多数 SPF 实现中,检查回退到检查 HELO 身份(推荐),如SPF RFC 第 2.4 节中所述。

即使您为 HELO 身份创建 SPF 记录,如果 HELO 身份不共享Header.From地址的组织域,您仍然可能会因为未对齐而导致 DMARC(在 SPF 上)失败。

在您的特定情况下,HELO 身份将被假定为postmaster@firewall.biv-ot.org,并且报告的域 ( Header.From) 设置为:biv-ot.org。这意味着发布 SPF 记录firewall.biv-ot.org可以解决您的问题。

另请注意:您仅ruf=在 DMARC 政策中发布地址。几乎没有邮箱提供商发送取证/故障报告,因此仅依靠这些报告来判断您的电子邮件身份验证实践是否处于良好状态是不明智的。DmarcianValimail的这些博客概述了为什么这些取证/故障报告如此稀缺。

于 2019-07-18T13:38:34.380 回答