Gmail

如何防止日曆邀請響應在兩個 Google Workspace 帳戶之間被阻止?

  • September 26, 2022

我的公司有兩個單獨的 Google Workspace 帳戶,每個帳戶都與一個單獨的域相關聯(我們稱它們為domainAdomainB)。

員工為這兩個域分配了電子郵件地址。

如果alice@domainA.com發送bob@domainB.com日曆邀請,並bob@domainB.com通過 Gmail 網路客戶端回复該日曆邀請電子郵件,他會收到自動回复:

消息被阻止

您的消息alice@domainA.com已被阻止。有關更多資訊,請參閱下面的技術細節。

回應是:

domainB.com由於域的 DMARC 政策,不接受來自未經身份驗證的電子郵件。domainB.com如果這是一封合法郵件,請聯繫域管理員。請訪問 https://support.google.com/mail/answer/2451690了解 DMARC 計劃。

我已閱讀提供的連結中的資訊,這表明我們需要創建和發布 DMARC 策略。但是,鑑於這兩個都是 Google Workspace 帳戶,似乎會有一個更簡單的解決方案——最好是一個具有更小的爆炸半徑的解決方案,而不是廣泛更改我們的電子郵件身份驗證邏輯。

在我進入這個兔子洞之前,我是否缺少一個簡單的解決方案?

長話短說:

  • 確保您在兩個域上都設置了 DKIM,使用 Google 在Google Workspace > Settings for Gmail > Authenticate email中提供的 DKIM 選擇器記錄
  • 在上面的同一頁面上啟用使用您的域進行簽名

長答案

由於域的 DMARC 政策,不接受來自 domainB.com 的未經身份驗證的電子郵件。如果這是一封合法郵件,請聯繫 domainB.com 域的管理員。請訪問https://support.google.com/mail/answer/2451690了解 DMARC 計劃。

上面的消息表明domainB.com確實已經有一個 DMARC 記錄。其政策設置為拒絕未通過 DMARC 檢查的電子郵件。

您可以通過使用本地 DNS 工具在_dmarc.domainB.com(例如dig _dmarc.domainB.com txt)查詢 TXT 記錄來檢查。您也可以為此使用https://toolbox.googleapps.com/apps/dig/#TXT/

domainA.com現在,來自to的電子郵件domainB.com被拒絕,因為 SPF 和 DKIM 都沒有從 DMARC POV 傳遞對齊。對齊意味著 SPF 或 DKIM 通過,並且通過檢查的域是domainA.com(可能是子域,取決於您配置 DMARC 的方式)。

話雖如此,預設情況下,Google 日曆邀請回復是使用來自 Google 域的信封發送的。這不會通過 DMARC,因為 SPF 不會與您的域保持一致。AFAIK 在 Google Workspace 上沒有選項可以改變這一點。

另一方面,可以在 Google Workspace 上設置 DKIM 來簽署電子郵件使用您的域。Google 應用將使用此設置,它會使 DKIM 簽名與“發件人”標頭對齊。這將使 DMARC 通過。

因此,要解決此問題,您需要:

  • 確保在domainA.com的 DNS 上設置了 DKIM 記錄,其值由 Google 提供。記錄必須位於頁面 ( google._domainkeys.domainA.com) 中顯示的地址。
  • 確保您確實啟用了 DKIM 簽名。您可以通過點擊“開始身份驗證”按鈕來執行此操作,否則某些 Google 應用不會使用您的域發出 DKIM 簽名。這並不完全明顯,人們似乎忘記了這最後一步。使用 Gmail 和其他 Google 應用程序發送的電子郵件仍然可以在不啟動身份驗證的情況下工作(如果您想知道原因,請參閱Google 日曆邀請未通過 DMARC 檢查),這有助於掩蓋問題。使用您的域啟用簽名(即“開始”按鈕)會改變這一點。

引用自:https://serverfault.com/questions/1111596