為什麼 spf 在 Google 的 DMARC 報告中失敗?
我最近收到來自 Google 的 DMARC 報告,提醒我一些 SPF 失敗,郵件來自屬於 Amazon SES 的 IP 地址。範例記錄如下(我已將我們的域替換為 example.com。):
<record> <row> <source_ip>54.240.27.187</source_ip> <count>1</count> <policy_evaluated> <disposition>none</disposition> <dkim>pass</dkim> <spf>fail</spf> </policy_evaluated> </row> <identifiers> <header_from>example.com</header_from> </identifiers> <auth_results> <dkim> <domain>example.com</domain> <result>pass</result> </dkim> <dkim> <domain>amazonses.com</domain> <result>pass</result> </dkim> <spf> <domain>mail.example.com</domain> <result>pass</result> </spf> </auth_results> </record>
SPF 是否失敗,因為
header_from
值是example.com
而 SPFdomain
值是mail.example.com
?我們使用 Amazon WorkMail 和 Amazon SES 發送手動和自動電子郵件。通常
From address
是webmaster@example.com
,我們已將MAIL FROM
域設置為mail.example.com
。因此,我對為什麼 Google 會將header_from
域報告為example.com
而不是mail.example.com
.example.com
我們已經為和設置了適當的 SPF 記錄mail.example.com
。此外,我嘗試使用 Amazon WorkMail 和 Amazon SES 將測試電子郵件發送到 Gmail 地址。在這兩種情況下,SPF 都通過了,DKIM 和 DMARC 也通過了。
DMARC 將RFC5322 .From域與 SPF 認證域進行比較。在您的報告中,我們可以看到 RFC5322.From 域是
example.com
SPF 認證域是mail.example.com
.該
aspf
標籤用於指示 DMARC SPF 對齊測試應該是嚴格 (s
) 還是寬鬆 (r
),預設為寬鬆。帶有
aspf=r
值或無aspf
標籤的 DMARC 記錄集將驗證 RFC5322.From組織域與 SPF 認證的組織域匹配。您的記錄將通過這種對齊方式,因為example.com
兩者的組織域。帶有
aspf=s
值的 DMARC 記錄將驗證 RFC5322.From 域和 SPF 認證域的精確 DNS 域匹配。DMARC 測試失敗,因為
aspf=s
您的 DMARC 記錄中配置了 RFC5322.From 域example.com
和 SPF 認證域mail.example.com
不同。