為什麼我的域發給 google 組的消息不重寫其標頭以便 DMARC 可以通過?
每當我的域向另一個域上的 google 組發送消息時,DMARC 對齊就會失敗。這適用於我所有批准的發件人,即使在我的域中使用 Gmail。這似乎是因為 Return-Path (Envelope From) 標頭被接收組的退回地址替換,但 From 標頭仍然是我的域,這是不正確的。
例如,我從我的域 chris@mydomain.com 中的 Gmail 向您域中的組 your-group@yourdomain.com 發送郵件。如果您查看收到的消息的標題,您會看到:
壞的
Return-Path: <your-group+bncBCA5XFGRYQLCBEHHVS5AKGQED3J2I7I@yourdomain.com> Authentication-Results: mx.google.com; dkim=pass header.i=@yourdomain.com; spf=pass (google.com: domain of your-group+bncBCA5XFGRYQLCBEHHVS5AKGQED3J2I7I@yourdomain.com designates 2607:f8b0:400d:c04::246 as permitted sender) smtp.mailfrom=your-group+bncBCA5XFGRYQLCBEHHVS5AKGQED3J2I7I@yourdomain.com; dmarc=fail (p=NONE dis=NONE) header.from=mydomain.com From: Chris <chris@mydomain.com> X-Original-Sender: chris@mydomain.com X-Original-Authentication-Results: mx.google.com; dkim=pass header.i=@mydomain.com; spf=pass (google.com: domain of chris@mydomain.com designates 2607:f8b0:400c:c05::233 as permitted sender) smtp.mailfrom=chris@mydomain.com; dmarc=pass (p=NONE dis=NONE) header.from=mydomain.com
由於 From 域 (mydomain) 與 DKIM 和 SPF 域 (yourdomain) 之間的對齊錯誤,DMARC 失敗。但是,當您(一個正確配置的 GApps 使用者)將郵件從 Gmail 發送到 mydomain 上的組時,標頭會有所不同。
好的
Return-Path: <my-group+bncBCGJ3NF22YBRBTXIVS1RKGQEIWR5E6Q@mydomain.com> Authentication-Results: mx.google.com; dkim=pass header.i=@mydomain.com; spf=pass (google.com: domain of my-group+bncBCGJ3NF22YBRBTXIVS1RKGQEIWR5E6Q@mydomain.com designates 2607:f8b0:4001:c0b::247 as permitted sender) smtp.mailfrom=my-group+bncBCGJ3NF22YBRBTXIVS1RKGQEIWR5E6Q@mydomain.com; dmarc=pass (p=NONE dis=NONE) header.from=mydomain.com From: "'You' via my-group" <my-group@ mydomain.com>
請注意 From 標頭的不同形式 - 原始發件人已被我自己的組替換。上面還有一對 X-Original 標題具有相同的形式(只是顛倒了),所以我沒有粘貼它們。
所以問題是,如何配置我的域、gapps、dns、mx 或其他任何內容,以便接收我的郵件的 Google 群組將正確地將 From 標頭替換為“via you-group@yourdomain.com”?
從我的域到其他域的使用者的郵件工作正常 - DMARC 通過,因為 SPF 和 DKIM 很好,並且返迴路徑仍然顯示@mydomain。我已閱讀有關為什麼需要“通過您的群組”的文章 - 我對此表示同意。我試圖弄清楚為什麼我發給群組的消息沒有得到這樣的對待。
似乎類似於:How to prevent email from my domain through mailing lists to be denied due to DMARC 不同,因為Google組絕對與 DMARC 兼容——其他人沒有這個問題。
更新: 我發現這篇文章說Google組只在 DMARC 政策嚴格時重寫發件人(p=reject)。這似乎是一個糟糕的主意,因為從 p=none 開始的全部目的是為了讓您確信當您制定政策時您的郵件會被送達,但如果屬實,那麼它可能會解釋我的問題。任何人都可以確認嗎? http://www.spamresource.com/2014/04/google-groups-rewriting-from-addresses.html
我終於得到了Google的回复。我很高興找到理解這個問題的人,但不幸的是,Google似乎堅持他們對 DMARC 指令的錯誤處理。
只有當原始發件人(在本例中為您)的 DMARC 政策設置為拒絕或隔離時,Google 網上論壇才會重寫 From: 標頭。
使用 DMARC/p=none,發送到組時不會重寫 DKIM,但由於 DMARC 設置為“none”,因此從傳遞和垃圾郵件檢測的角度來看,組會破壞 DKIM 並不重要 -它仍然會正確傳遞。不幸的是,如果您正在監視您的部署,它確實會讓人感到困惑。
為了查看正確的行為,您可以切換到 p=quarantine 並監控傳遞。如果還有什麼可以幫助您的,請告訴我,我很樂意跟進。