Email

dmarc。為什麼我會收到轉發器的 SPF 或 DKIM 身份驗證失敗報告?

  • June 13, 2019

我設置 _dmarc 以查看我的電子郵件身份驗證報告(以防它失敗)。

像那樣

"v=DMARC1;p=quarantine;pct=100;rua=mailto:dmarcreports@example.com"

我從Google收到這些報告。

我收到的電子郵件報告很好,因為它們來自 AWS SES 並且所有配置都很好,就像這樣

<disposition>none</disposition>
<dkim>pass</dkim>
<spf>pass</spf>

但有時我會得到這樣的記錄

<record>
 <row>
   <source_ip>209.85.220.41</source_ip>
   <count>1</count>
   <policy_evaluated>
   <disposition>none</disposition>
     <dkim>pass</dkim>
     <spf>fail</spf>
   </policy_evaluated>
 </row>
 <identifiers>
   <header_from>mydomain.com</header_from>
 </identifiers>
 <auth_results>
   <dkim>
     <domain>mydomain.com</domain>
     <result>pass</result>
     <selector>xxx</selector>
   </dkim>
   <dkim>
     <domain>amazonses.com</domain>
     <result>pass</result>
     <selector>gggxxx</selector>
   </dkim>
   <spf>
     <domain>gmail.com</domain>
     <result>pass</result>
   </spf>
 </auth_results>
</record>

而且我知道有人轉發了我的電子郵件,但沒有覆蓋標題,而這個人是gmail

為什麼 gmail 不覆蓋標頭,我為什麼要關心轉發?他們只會在我遇到問題時才給我發郵件,對吧?

我在混淆什麼嗎?

在這裡測試一些假設:

為什麼gmail不覆蓋標題…?

伺服器端/自動轉發通常以這種方式執行:將原始發件人保留在中,header.from並將envelope from( bounce-address) 更改為轉發電子郵件的服務。當存在對齊的DKIM簽名並且只要簽名的欄位沒有被更改,DKIM就會成功地驗證消息並DMARC通過。如果沒有找到 DKIM 簽名,DMARC將失敗。

他們只會在我遇到問題時才給我發郵件,對吧?

否。DMARC包含rua標籤的策略記錄要求接收伺服器定期發送收到的所有電子郵件的匯總報告,這些電子郵件是代表該欄位中的域發送的header.from。接收伺服器不應該對特定檢查失敗的原因(在這種情況下header.from和中使用的域未對齊)做出假設(這是誰的錯envelope from)。

引用自:https://serverfault.com/questions/971035