Dmarc

DMARC 失敗無法弄清楚原因

  • April 27, 2020

通過我的公司域 surgishop.com 從 salesforce.com 發送消息時,我收到 DMARC 失敗。我相信我已經正確配置了 SPF 和 DKIM,但可以使用一些幫助來找出 DMARC 失敗的原因。

電子郵件標題:

https://pastebin.com/zbK4TFaQ

鍵:

surgishop.com。14400 IN TXT v=spf1 mx 包括:_spf.google.com 包括:_spf.salesforce.com ~all

google._domainkey.surgishop.com。14400 在 TXT v=DKIM1;k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCCpntjPXwGg8te96R6sBKmsUIQeIou8tgZWa8o+k0hMYnMQivNcDQG+TlZ6YHI5VfVoxrFbRoh5cDl7RXX9mc2GdO2dnqhlCEVgUY0ElxZrQ00k72KPYJ0wRJT5mSEMVO/vAn/L/yFaSRCrNeHJFbZNL6ttfX5T/1XIVo4gLf7ywIDAQAB

_dmarc.surgishop.com。14400 在 TXT v=DMARC1;p=隔離;sp=無;rua=mailto:aborges@surgishop.com!10m; ruf=mailto:aborges@surgishop.com!10m; rf=afrf;百分比=100;ri=86400

  1. 僅當 SPF 或 DKIM 通過時,DMARC 才會通過,與FROM電子郵件地址域保持一致。
  2. Salesforce(除了 Marketing Cloud AFAIK)將添加一個 return-path包含域的電子郵件地址[...].bnc.salesforce.com ,以進行退回處理。並且該欄位中使用的return-path域是正在檢查 SPF 的域。因此,與您的域沒有對齊。您對此無能為力,這就是 Salesforce 的工作方式。
  3. 您可以將 DKIM 簽名添加到 Salesforce,如下所述在將 DKIM 添加到 Salesforce 並將公鑰添加到您的 DNS 並在 Salesforce 中啟用 DKIM 密鑰對後,Salesforce 將開始使用您的域作為DKIM.d=值簽署您的電子郵件。這將與您的域保持一致,因此通過 DMARC。

**總結:**您的域的 SPF 將被忽略,因為 Salesforce 將其自己的域設置為退回處理的返迴路徑。Salesforce 沒有 DKIM,您需要添加它。

引用自:https://serverfault.com/questions/949407