Я размещаю электронную почту для своего домена (назовем его example.com) в приложениях Google (бесплатная устаревшая версия). Недавно я включил отчеты DMARC, поэтому теперь я получаю ежедневный отчет по электронной почте, отправленной из моего домена.
Моя проблема в том, что иногда я получаю отчеты с google.com о письмах, отправленных с моего домена, имеющих spf и dkim со значением pass. Это означает, что электронные письма были фактически отправлены и подписаны из моей учетной записи приложений Google, а не кем-то, претендующим на мою учетную запись. Однако я не могу найти эти отправленные электронные письма ни в одной из папок отправленных элементов любой из моих учетных записей.
Проверка журналов IP со страниц безопасности Google не указывает на подозрительную активность IP.
Могут ли почтовые серверы google.com каким-либо образом отправлять мне отчеты DMARC по электронной почте, которую я не отправлял? Или у меня есть вирус, который может каким-то образом отправлять информацию из сеанса в моем браузере, а затем удалять ее из папки отправленных элементов?
Я также должен упомянуть, что, поскольку я не отправляю много писем из этой учетной записи, эти отчеты приходят не каждый день, и когда они приходят, я обычно могу сопоставить электронные письма, отправленные с отчетом. Сегодня, хотя я не мог, так как я не отправлял электронные письма из Gmail
Далее следует сегодняшний отчет DMARC, в котором мой домен изменен на example.com. Имя файла отчета было google.com!example.com!1452384000!1452470399.xml. Вы заметите одну запись, в которой указано электронное письмо, отправленное с amazonses.com. Это письмо было законным и было отправлено мной. Но другая запись с source_ip 2607: f8b0: 4003: c06 :: 248 не была отправлена мной.
Кто-нибудь может объяснить, что я вижу?
<?xml version="1.0" encoding="UTF-8" ?>
<feedback>
<report_metadata>
<org_name>google.com</org_name>
<email>noreply-dmarc-support@google.com</email>
<extra_contact_info>https://support.google.com/a/answer/2466580</extra_contact_info>
<report_id>9818071788624937284</report_id>
<date_range>
<begin>1452384000</begin>
<end>1452470399</end>
</date_range>
</report_metadata>
<policy_published>
<domain>example.com</domain>
<adkim>r</adkim>
<aspf>r</aspf>
<p>none</p>
<sp>none</sp>
<pct>100</pct>
</policy_published>
<record>
<row>
<source_ip>54.240.6.222</source_ip>
<count>1</count>
<policy_evaluated>
<disposition>none</disposition>
<dkim>pass</dkim>
<spf>fail</spf>
</policy_evaluated>
</row>
<identifiers>
<header_from>example.com</header_from>
</identifiers>
<auth_results>
<dkim>
<domain>example.com</domain>
<result>pass</result>
</dkim>
<dkim>
<domain>amazonses.com</domain>
<result>pass</result>
</dkim>
<spf>
<domain>eu-west-1.amazonses.com</domain>
<result>pass</result>
</spf>
</auth_results>
</record>
<record>
<row>
<source_ip>2607:f8b0:4003:c06::248</source_ip>
<count>1</count>
<policy_evaluated>
<disposition>none</disposition>
<dkim>pass</dkim>
<spf>pass</spf>
</policy_evaluated>
</row>
<identifiers>
<header_from>example.com</header_from>
</identifiers>
<auth_results>
<dkim>
<domain>example.com</domain>
<result>pass</result>
</dkim>
<spf>
<domain>example.com</domain>
<result>pass</result>
</spf>
</auth_results>
</record>
</feedback>
Запись spf "v=spf1 include:_spf.google.com include:amazonses.com ~all" так как я также отправляю почту через amazonses.
Запись DMARC "v=DMARC1; p=none; pct=100; sp=none; rua=mailto:postmaster@example.com;"
Я наконец понял, почему я вижу эти отчеты DMARC о правильно подписанных электронных письмах, отправленных из моего домена.
Как я уже упоминал в вопросе, моя запись DMARC была "v=DMARC1; p=none; pct=100; sp=none; rua=mailto:postmaster@example.com;"
По умолчанию приложения Google не доставляют электронные письма, отправленные на postmaster@example.com, ни в один из ваших почтовых ящиков. Чтобы получать эти электронные письма, мне пришлось создать группу с таким же именем и добавить себя в качестве члена этой группы. Этот шаг настройки объясняется в этом Страница справки Google Apps.
Однако оказалось, что электронное письмо, перенаправленное группой на мой почтовый ящик, было засчитано как электронное письмо, отправленное из моего домена, что означало, что я также получил для него отчет DMARC. Это создало цикл обратной связи, поэтому я получал отчет DMARC каждый день, потому что отчет DMARC был отправлен накануне.
Как только я создал новую учетную запись dmarc@example.com, чтобы принимать электронные письма DMARC, и изменил свои записи DNS на "v=DMARC1; p=none; pct=100; sp=none; rua=mailto:dmarc@example.com;" проблема ушла.
DKIM предназначен для проверки сервера, отправляющего почту. Хотя я не очень много играл с этим, насколько я понимаю, у вас может быть почтовый сервер на example.net, использующий свою собственную подпись DKIM для отправки электронных писем на example.com. Например, я использую Google Apps для домена без записи DKIM для этой службы, но он по-прежнему передает DKIM с такими результатами, как from=example-com.123456789.gappssmtp.com; dkim=pass (ok)
Основываясь на записи SPF, я подозревал, что сервер, использующий одну из ваших служб и собственный DKIM, пройдет DMARC, и, как я догадался, 2607: f8b0: 4003: c06 :: 248 принадлежит Google и имеет rDNS mail-oi0-x248.google.com.
При этом вы уверены, что это письмо не вы отправляете? Возможно, сгенерировано какой-либо другой службой или сервером, которые вы используете? Черт возьми, может ли Google включить агрегированный отчет по электронной почте, который он отправляет вам?