Amazon-Web-Services

為什麼 spf 在 Google 的 DMARC 報告中失敗?

  • November 14, 2021

我最近收到來自 Google 的 DMARC 報告,提醒我一些 SPF 失敗,郵件來自屬於 Amazon SES 的 IP 地址。範例記錄如下(我已將我們的域替換為 example.com。):

 <record>
   <row>
     <source_ip>54.240.27.187</source_ip>
     <count>1</count>
     <policy_evaluated>
       <disposition>none</disposition>
       <dkim>pass</dkim>
       <spf>fail</spf>
     </policy_evaluated>
   </row>
   <identifiers>
     <header_from>example.com</header_from>
   </identifiers>
   <auth_results>
     <dkim>
       <domain>example.com</domain>
       <result>pass</result>
     </dkim>
     <dkim>
       <domain>amazonses.com</domain>
       <result>pass</result>
     </dkim>
     <spf>
       <domain>mail.example.com</domain>
       <result>pass</result>
     </spf>
   </auth_results>
 </record>

SPF 是否失敗,因為header_from值是example.com而 SPFdomain值是mail.example.com

我們使用 Amazon WorkMail 和 Amazon SES 發送手動和自動電子郵件。通常From addresswebmaster@example.com,我們已將MAIL FROM域設置為mail.example.com。因此,我對為什麼 Google 會將header_from域報告為example.com而不是mail.example.com. example.com我們已經為和設置了適當的 SPF 記錄mail.example.com

此外,我嘗試使用 Amazon WorkMail 和 Amazon SES 將測試電子郵件發送到 Gmail 地址。在這兩種情況下,SPF 都通過了,DKIM 和 DMARC 也通過了。

DMARC 將RFC5322 .From域與 SPF 認證域進行比較。在您的報告中,我們可以看到 RFC5322.From 域是example.comSPF 認證域是mail.example.com.

aspf標籤用於指示 DMARC SPF 對齊測試應該是嚴格 ( s) 還是寬鬆 ( r),預設為寬鬆。

帶有aspf=r值或無aspf標籤的 DMARC 記錄集將驗證 RFC5322.From組織域與 SPF 認證的組織域匹配。您的記錄將通過這種對齊方式,因為example.com兩者的組織域。

帶有aspf=s值的 DMARC 記錄將驗證 RFC5322.From 域和 SPF 認證域的精確 DNS 域匹配。

DMARC 測試失敗,因為aspf=s您的 DMARC 記錄中配置了 RFC5322.From 域example.com和 SPF 認證域mail.example.com不同。

引用自:https://serverfault.com/questions/1082949