Domain-Name-System

如何避免通過 Gmail 別名發送郵件時因 DMARC 而被拒絕?

  • August 5, 2017

許多人為他們的 Gmail 帳戶添加 了“另一個電子郵件地址作為別名” ——這裡談論的是公共 Gmail 而不是 Google Apps——他們可能使用 Gmail 伺服器而不是他們的域伺服器作為 SMTP,並帶有“視為“別名”設置”。雖然 DMARC 不會對“無”造成任何問題,但由於 DMARC p=“reject” 或 p=“quarantine”,當 Gmail 使用“另一個地址”發送郵件時,它會導致郵件被 Hotmail、Yahoo 等伺服器拒絕。

這是被拒絕消息的範例:

被雅虎拒絕,

Delivery to the following recipient failed permanently:

anyuser@ymail.com

Technical details of permanent failure:
Google tried to deliver your message, but it was rejected by the server for 
the recipient domain ymail.com by mta6.am0.yahoodns.net. [98.136.216.26].

The error that the other server returned was:
554 5.7.9 Message not accepted for policy reasons.  
See http://postmaster.yahoo.com/errors/postmaster-28.html

被 Hotmail 拒絕

Delivery to the following recipient failed permanently:

anyuser@msn.com

Technical details of permanent failure:
Google tried to deliver your message, but it was rejected by the server for 
the recipient domain msn.com by mx3.hotmail.com. [65.55.37.72].

The error that the other server returned was:
550 5.7.0 (COL0-MC1-F8) Unfortunately, messages from (209.85.216.195) on 
behalf of (any-domain-com) could not be delivered due to domain owner 
policy restrictions.

儘管 DMARC 記錄的效率我們仍然無法解決任何問題,除了要求接收者將這些伺服器列入“已知轉發器”的白名單,這不是解決方案!

任何人都知道通過 DMARC 拒絕和隔離政策在 Gmail 中繼續使用此類功能的另一種方法嗎?

更新:

域的 SPF 設置為不允許所有其他域:

域 SPF v=spf1 mx 包括:somehost.net -all(使用時相同 ~all 甚至包括:_spf.google.com)

somehost.net SPF ip4:1.2.3.4 ip4:5.6.7.8 -all

域和主機的 DKIM 和 SPF 用於接收傳遞結果和用於到達 Yahoo 和 Hotmail 的消息,直到為域的 DMARC 設置“拒絕”策略。

當我將 Gmail 中的“視為別名”更改為“使用域 SMTP 伺服器”時,它肯定會正常發送。

雅虎自定義發件人帳戶也發生了同樣的事情……其他提供商退回消息。

更新 2

我在 dmarc-discuss 上進行了討論,並回答“​​noway(它是 dmarc 的一個功能)”……看這裡 medusa.blackops.org/pipermail/dmarc-discuss/2013-March/001684.html 和這裡 medusa .blackops.org/pipermail/dmarc-discuss/2013-March/001692.html …非常糟糕:( ..我不會使用

聽起來您想解決 dmarc 記錄中所述的政策。當使用該域的所有郵件都由該域控制下的郵件伺服器發送時,它是最有效的。這應該適用於銀行、航空公司、快遞公司、政府和其他對防止地址欺騙很重要的發件人。

如果您確實需要使用其他域從 GMail 發送,則該域需要將 Google 添加為有效來源或用作“無”之類的弱策略。如果您從受保護的域發送到郵件列表,您可能會遇到類似的問題。

編輯:Reply-To 標頭對於處理代表其他人發送郵件的情況很有用。From 標頭應該包含真正的發件人。回复地址應該是請求方的地址。DMrc 策略將適用於真正的發件人並遵循他們的欺騙策略。我檢查過,GMail 不允許使用對標頭的回复。(太多的自動發件人不採用這種方法。)

要將 GMail 添加到您的 SPF 記錄,請遵循重定向並包含跟踪。我希望您可以僅包含在內,_netblocks.google.com儘管您需要_netblocks2.google.comIPv6 支持。我認為您的政策會覆蓋所包含的?all政策。

為郵件列表和第三方發件人使用單獨的域或子域也是一種選擇。為此域設置更寬鬆的策略。為代表您發送郵件的每個組織提供單獨的子域是一個很好的策略選項。這將允許您快速隔離與特定組織相關的問題。

我實施了 SPF 以應對垃圾郵件風暴對我控制的域進行欺騙。一天之內,流量顯著減少,一周內體積最小。最後,剩餘的流量被垃圾郵件發送到已經收穫的地址。

雖然有些人認為 DMrc 是一種減少垃圾郵件的工具,但它實際上是一種反欺騙工具。因此,它可以打破一些邊緣情況,例如郵件列表,以及使用第三方主機發送郵件的發件人。就我而言,我提供從網路外部對 WebMail、IMap 和郵件送出的安全訪問。

減少欺騙可能會減少垃圾郵件的數量,但這只是因為發件人(垃圾郵件機器人)無法假裝自己是誰。目前,SPF HELO 檢查正在阻止一個聲稱處於攻擊狀態的垃圾郵件機器人google.com

引用自:https://serverfault.com/questions/488689