问题标签 [dmarc]

我想了解用于验证电子邮件的 SPF/DKIM/DMARC 堆栈。

我了解 SPF 适用于 SMTP“邮件发件人”/信封发件人。

但即使在 stackoverflow 本身上，我也发现关于 DKIM 是否适用于信封发件人或实际 SMTP Payload/Email/Header-From 的相互矛盾的信息。

我有一个注册的域domains.google.com，我使用 G Suite 帐户，还可以从 SES 和 mailchimp 发送电子邮件。

我的 DNS 记录对我来说是正确的（Mailchimp 说明）：

@TXT "v=spf1 包括：_spf.google.com 包括：amazonses.com 包括：servers.mcsv.net ~all"

_dmarc TXT "v=DMARC1；p=none；pct=100；rua=mailto:re+aml1ryadtn7@dmarc.postmarkapp.com；sp=none；aspf=r；"

我使用邮戳的漂亮服务来获取每周的 DMARC 摘要，他们为 mailchimp 电子邮件报告了这个错误：

mcsv.net 被授权代表 mydomain.com 发送，但看起来 SPF 仍未通过 DMARC 的对齐测试。DMARC 查看邮件的返回路径，以确保那里的域与您的发件人地址中的域匹配。如果返回路径路径与您的发件人地址不匹配，则这些邮件将无法通过 DMARC 的 SPF 对齐测试。请检查此来源，因为您可能需要设置自定义返回路径。

以下是来自 mailchimp 电子邮件的相关标题：

我是否有设置错误（DNS 或 Mailchimp）导致 SPF DMARC 对齐失败？或者这是 Mailchimp 不支持的东西？

我在下面使用 username@example.net 来保护隐私，但这发生在一个真实的域和电子邮件地址上。

在我们发送的大量电子邮件中，DMARC 失败了：

在我的 TXT 记录中，这就是我对 DMARC 的记录：

_dmarc 14400 IN TXT "v=DMARC1; p=none; rua=mailto:username@example.net; sp=none; aspf=r"

当我去https://mxtoolbox.com验证我的 DMARC 记录时，我得到了：

为什么 DMARC 会失败，即使验证器说它通过了，没有语法错误并且一切看起来都正确？注意 SPF 和 DKIM 是如何传递的。出于某种我试图理解的原因，问题仅出在 DMARC 上。

更新 1：我在https://support.google.com/a/answer/2466563?hl=en找到了这一段：

对齐模式是指将发件人记录与 SPF 和 DKIM 签名进行比较的精度，这两个可能的值是宽松的或严格的。分别用“r”和“s”表示。简而言之，relaxed 允许部分匹配，例如给定域的子域，而 strict 需要完全匹配。

请注意我_dmarc 14400 IN TXT "v=DMARC1; p=none; rua=mailto:username@example.net; sp=none; aspf=r"是如何尝试使用轻松模式的。

我正在尝试在 DNS 区域文件中实现 DKIM。将以下条目添加到域的区域文件时，我遇到了“语法错误”：

我收到的错误如下：

我已经阅读了很多关于如何实现 DKIM 的内容，并且已经省略了不必要的参数，例如“h”和“s”。

我的语法有什么问题？

在我的设置中，我有一个托管在 Heroku 上的网站（example.app）。

然后，我使用 Sendgrid 从 Heroku 服务器向忘记密码的用户发送电子邮件。该电子邮件是使用 Google 的 Gsuite 注册的。所以我也从谷歌服务器发送电子邮件。

发件人电子邮件是：<Appname <noreply@example.app>

所以我认为这些应该是我的 DNS 记录（注意我没有 A 记录）：

名称：

example.app CNAME "example.app.herokudns.com" www.example.app CNAME "www.example.app.herokudns.com"

防晒指数：

example.app TXT "v=spf1 a include:_spf.google.com include:sendgrid.net ~all"

标记：

_dmarc TXT v=DMARC1; p=none; rua=mailto:dmarc@example.app; ruf=mailto:dmarc-forensic@example.app; fo=0; adkim=r; aspf=r; rf=afrf; pct=100; ri=86400; sp=none

但是，Dmarc 记录不会验证，因为邮件是从与收件人地址不同的域发送的。我认为电子邮件是从 sendgrid.com 发送的，收件人地址是 example.app。

因此，我认为通过将我的 Heroku DNS 的 IP 地址添加到 SPF 记录中它应该可以工作。

但是，当这些 IP 地址是动态的时，我该怎么做呢？

我正在为我们的批量营销电子邮件和批量招聘电子邮件计划策略。即使我们使用Critsend和Sendgrid等提供商的 SMTP 中继服务，我们是否应该使用单独的域进行营销和招聘批量电子邮件。我问的原因是因为我在某处读过域声誉从长远来看也非常重要，应该使用主域：abc.com 进行正常的交易电子邮件以及与我们的客户和供应商的日常通信，并使用单独的域进行批量电子邮件。

我们确实拥有所有这 3 个域（主要 abc.com，其他 abc.net 和 abc.org）与我们一起使用了几年，因此我们可以快速设置并开始使用，尽管迄今为止其他 2 个新域从未用于发送电子邮件，并且这些年来，我们一直使用我们的主要 abc.com 发送交易电子邮件，除了几年前一次用于批量发送电子邮件，但只有那几封 100 封电子邮件。

或者，如果我们使用您的这些提供商的 SMTP 中继，则需要提供商的域声誉，因此无论我们使用其他域还是只使用我们的主域来处理所有事情都无关紧要？

请帮助和建议。

我在 DigitalOcean 上的 Ubuntu 16.04 Droplet 上运行 Postfix 的邮件服务器。邮件服务器是一个（封闭的）SMTP 中继，它使用 Gmail 和 Hotmail 等邮件客户端接口从我的域（我们称之为example.com）发送电子邮件。它设置了 SPF、DKIM 和 DMARC，因此来自我域的电子邮件不会被 Hotmail 和 Gmail 标记为垃圾邮件。

我最近收到了来自我的 Postfix Mail Daemon 的带有smtp.mailfrom=double-bounce@mail.example.com标头的邮件。这些电子邮件未通过 SPF 和 DMARC 测试。

这些电子邮件未通过测试的一个可能原因可能是因为我的 SPF 记录仅列出了example.com. 但是为什么 Postfix Mailer Daemon 发送电子邮件@mail.example.com而不是@example.com？在 Postfix 中，我的myorigin属性设置为example.com，文档中说双跳地址设置为double-bounce@$myorigin。

我收到的来自 Mailer Daemon 的这些电子邮件是否有可能被欺骗？我想了解一下为什么我的 SPF 和 DMARC 标头失败了。包括下面我的邮件标题的重要部分。

PS1.2.3.4是我的邮件服务器 IP 和已在我的域 SPF 记录中列入白名单的 IP。

我在向 Gmail 发送电子邮件时收到此消息。

此消息没有身份验证信息或未能通过 421-4.7.0 身份验证检查。为了最好地保护我们的用户免受垃圾邮件的侵害，421-4.7.0 消息已被阻止。

我尝试添加SPF，DMARC但DKIM仍然收到相同的错误消息。

我的一个网站从各种来源发送电子邮件，包括：

• 邮件黑猩猩
• 山魈
• 邮筒
• 亚马逊 SES
• 从服务器本身

我们已经为所有源正确配置了 SPF 和 DKIM 设置，因此我们决定也添加 DMARC，同时我们将 ?all 更改为 -all。

我们所有的电子邮件都顺利通过，但我们注意到我们的 Mailchimp 电子邮件“无法使用 SPF”，因此没有完全通过。

大多数电子邮件客户端/帐户显示 DMARC 已通过，但是 DMARCian 和一些电子邮件客户端抛出DMARC Fail-alignment

例如：

然而， DMARC.io确实说了以下内容：

SPF：SPF 是不可能的，因为 MailChimp 在退回地址中使用自己的域。不过，他们的域身份验证验证工具需要包含 Mailchimp。要在不必包含 Mailchimp 服务器的情况下解决此问题，请尝试在 SPF 记录中仅包含“ip4:205.201.128.0/20 ip4:198.2.128.0/18 ip4:148.105.8.0/21”。

所以，我将这些添加到我的 SPF 中，但它仍然显示：

以下所有 IP 都包含在这些 CIDR 符号中，所以我无法弄清楚为什么 SPF 仍然与 SPF 不一致，但它修复了 DKIM ......

• 198.2.185.161
• 198.2.185.245
• 198.2.141.4
• 198.2.175.233
• 198.2.185.245
• 198.2.142.122

我确实在 stackoverflow 上找到了以下内容：https ://stackoverflow.com/a/50471866/2487602但是这似乎有点错误，因为反弹服务器几乎总是不同的。他们有数百台服务器。

我的 SPF 看起来像：

v=spf1 +a +mx +ip4:94.237.30.75 +ip4:94.237.30.85 +ip4:94.237.30.86 +ip4:94.237.30.87 +ip4:54.77.177.67 +ip4:34.246.233.211 +ip4:52.18.62.128 +ip4:34.241.119.225 +ip4:205.201.128.0/20 +ip4:198.2.128.0/18 +ip4:148.105.8.0/21 include:servers.mcsv.net include:spf.mandrillapp.com include:mailgun.org include:amazonses.com -all

我做错了什么/我可以改进以使 SPF 保持一致吗？

附带说明一下，我假设前 4 个 IP 我可以只使用：+ip4:94.237.30.75/28这将包括这 4 个 IP 以及 14 个左右的其他 IP，这并没有那么危险，尤其是当他们没有 DKIM 和结果 DMARC 通过了吗？为了让它更安全一点，我可以将这 4 条记录减少到+ip4:94.237.30.75 +ip4:94.237.30.85/30只包含 1 个我们不使用的 IP。

我也想通过 EC2 发送电子邮件，而不是通过 SES 发送某些电子邮件（可能会取代 Mailgun/SES），但是当我们从这些服务器发送电子邮件时，它们会因为没有反向 DNS 而被发送到垃圾邮件。

我想，解决方法是请求亚马逊为我们使用的 3 个 EC2 实例设置 PTR 记录？

我之前确实请求过其中一个，但我不确定它是否应该指向我的主网站的 IP 或它发送电子邮件的服务器的 IP...

至于 SES，即使添加了 SPF 包含和 DKIM 记录，我们的 SPF 记录显示“中性”而不是“通过”，例如以下来自 SES/EC2 的“测试电子邮件”功能

• SPF: NEUTRAL with IP 54.240.7.46

所以回顾一下...

1. 我们如何使 Mailchimp 完全传递 SPF 以便 DMARC 对齐
2. 我们如何正确设置反向 dns 的 PTR 记录，子域应该指向它发送电子邮件的服务器还是主域的服务器？
3. 如何让 Amazon SES 抛出 SPF Pass，而不是 SPF Neutral？

我们正在发送电子邮件。我们每天要发送数千封电子邮件，因为我们的客户希望得到我们的通知（我们确实得到了他们的同意；））。

我们刚刚启用了 p=none 的 DMARC，看看会发生什么。它来了：

这是雅虎的一份报告，我看到谷歌和许多其他 ESP 的报告非常相似。

1. 209.85.221.48 - 谷歌转发电子邮件到雅虎？
2. 212.227.15.3 - web.de 从不同的主机两次转发到 Yahoo ??
3. 77.238.176.162 - 雅虎主机转发到另一个雅虎主机？？？

当我转为 p=quarantine 时，所有这些电子邮件会发生什么？我可以理解如果一个人想从他的所有邮箱中接收电子邮件。我无法理解 - 为什么 ESP 在他们自己的主机之间传输消息时分析 DKIM/SPF？在这种情况下，策略应该失败，如果 p=quarantine，收件人将在垃圾邮件中收到它，不是吗？