Spf

根據這份 DMARC 報告,一切正常嗎?

  • January 28, 2021

我是否理解一切正常,並且根據 Google 的這份報告正確配置了 SPF 和 DKIM?

<?xml version="1.0" encoding="UTF-8" ?>
<feedback>
 <report_metadata>
   <org_name>google.com</org_name>
   <email>noreply-dmarc-support@google.com</email>
   <extra_contact_info>https://support.google.com/a/answer/2466580</extra_contact_info>
   <report_id>__OBFUSCATED__</report_id>
   <date_range>
     <begin>1611619200</begin>
     <end>1611705599</end>
   </date_range>
 </report_metadata>
 <policy_published>
   <domain>__OBFUSCATED__</domain>
   <adkim>r</adkim>
   <aspf>r</aspf>
   <p>none</p>
   <sp>none</sp>
   <pct>100</pct>
 </policy_published>
 <record>
   <row>
     <source_ip>__OBFUSCATED__</source_ip>
     <count>2</count>
     <policy_evaluated>
       <disposition>none</disposition>
       <dkim>pass</dkim>
       <spf>pass</spf>
     </policy_evaluated>
   </row>
   <identifiers>
     <header_from>__OBFUSCATED__</header_from>
   </identifiers>
   <auth_results>
     <dkim>
       <domain>__OBFUSCATED__</domain>
       <result>pass</result>
       <selector>zoho</selector>
     </dkim>
     <spf>
       <domain>__OBFUSCATED__</domain>
       <result>pass</result>
     </spf>
   </auth_results>
 </record>
</feedback>

以下幾行是什麼?

...
   <adkim>r</adkim>
   <aspf>r</aspf>
   <p>none</p>
   <sp>none</sp>
   <pct>100</pct>
...

這些是 DMARC 記錄屬性。該報告意味著您沒有指定任何策略,遠端伺服器將對未正確簽名的郵件應用預設行為。

https://dmarc.org/overview/

pct     Percentage of messages subjected to filtering
p       Policy for organizational domain
sp      Policy for subdomains of the OD
adkim   Alignment mode for DKIM
aspf    Alignment mode for SPF

如果您希望遠端方拒絕來自信封中包含您的域的未簽名郵件,請指定p=reject。對於原始域的子域,如果它們沒有自己的記錄,則使用 sp 作為策略。在這種情況下,pct是要拒絕的郵件的百分比。

請注意,遠端伺服器不必遵循您的指南。如果他們不拒絕,他們可能不會拒絕。他們甚至可能根本不檢查簽名。你對此無能為力。實際上,這顯示了您的機密性,因為您已配置了所有內容,並且您確信您的任何郵件都必須簽名。

簽名本身是正確生成的。沒有什麼可以阻止遠端方對您的簽名郵件進行評分,並降低您的域在信封中但未簽名的郵件的評分,即使在沒有發布政策的情況下也是如此。

引用自:https://serverfault.com/questions/1051498