如何防止日曆邀請響應在兩個 Google Workspace 帳戶之間被阻止?
我的公司有兩個單獨的 Google Workspace 帳戶,每個帳戶都與一個單獨的域相關聯(我們稱它們為
domainA
和domainB
)。員工為這兩個域分配了電子郵件地址。
如果
alice@domainA.com
發送bob@domainB.com
日曆邀請,並bob@domainB.com
通過 Gmail 網路客戶端回复該日曆邀請電子郵件,他會收到自動回复:消息被阻止
您的消息
alice@domainA.com
已被阻止。有關更多資訊,請參閱下面的技術細節。回應是:
domainB.com
由於域的 DMARC 政策,不接受來自未經身份驗證的電子郵件。domainB.com
如果這是一封合法郵件,請聯繫域管理員。請訪問 https://support.google.com/mail/answer/2451690了解 DMARC 計劃。我已閱讀提供的連結中的資訊,這表明我們需要創建和發布 DMARC 策略。但是,鑑於這兩個都是 Google Workspace 帳戶,似乎會有一個更簡單的解決方案——最好是一個具有更小的爆炸半徑的解決方案,而不是廣泛更改我們的電子郵件身份驗證邏輯。
在我進入這個兔子洞之前,我是否缺少一個簡單的解決方案?
長話短說:
- 確保您在兩個域上都設置了 DKIM,使用 Google 在Google Workspace > Settings for Gmail > Authenticate email中提供的 DKIM 選擇器記錄
- 在上面的同一頁面上啟用使用您的域進行簽名
長答案
由於域的 DMARC 政策,不接受來自 domainB.com 的未經身份驗證的電子郵件。如果這是一封合法郵件,請聯繫 domainB.com 域的管理員。請訪問https://support.google.com/mail/answer/2451690了解 DMARC 計劃。
上面的消息表明
domainB.com
確實已經有一個 DMARC 記錄。其政策設置為拒絕未通過 DMARC 檢查的電子郵件。您可以通過使用本地 DNS 工具在
_dmarc.domainB.com
(例如dig _dmarc.domainB.com txt
)查詢 TXT 記錄來檢查。您也可以為此使用https://toolbox.googleapps.com/apps/dig/#TXT/。
domainA.com
現在,來自to的電子郵件domainB.com
被拒絕,因為 SPF 和 DKIM 都沒有從 DMARC POV 傳遞和對齊。對齊意味著 SPF 或 DKIM 通過,並且通過檢查的域是domainA.com
(可能是子域,取決於您配置 DMARC 的方式)。話雖如此,預設情況下,Google 日曆邀請回復是使用來自 Google 域的信封發送的。這不會通過 DMARC,因為 SPF 不會與您的域保持一致。AFAIK 在 Google Workspace 上沒有選項可以改變這一點。
另一方面,可以在 Google Workspace 上設置 DKIM 來簽署電子郵件並使用您的域。Google 應用將使用此設置,它會使 DKIM 簽名與“發件人”標頭對齊。這將使 DMARC 通過。
因此,要解決此問題,您需要:
- 確保在
domainA.com
的 DNS 上設置了 DKIM 記錄,其值由 Google 提供。記錄必須位於頁面 (google._domainkeys.domainA.com
) 中顯示的地址。- 確保您確實啟用了 DKIM 簽名。您可以通過點擊“開始身份驗證”按鈕來執行此操作,否則某些 Google 應用不會使用您的域發出 DKIM 簽名。這並不完全明顯,人們似乎忘記了這最後一步。使用 Gmail 和其他 Google 應用程序發送的電子郵件仍然可以在不啟動身份驗證的情況下工作(如果您想知道原因,請參閱Google 日曆邀請未通過 DMARC 檢查),這有助於掩蓋問題。使用您的域啟用簽名(即“開始”按鈕)會改變這一點。