Каждый раз, когда мой домен отправляет сообщение группе Google в другом домене, выравнивание DMARC не выполняется. Это верно для всех моих одобренных отправителей, даже использующих Gmail в моем домене. Похоже, это связано с тем, что заголовок Return-Path (Envelope From) заменен адресом возврата принимающей группы, но заголовок From остается моим доменом, что неверно.
Например, я отправляю почту из Gmail в моем домене, chris@mydomain.com, группе в вашем домене, your-group@yourdomain.com. Если вы посмотрите на заголовки полученного сообщения, вы увидите:
ПЛОХОЙ
Return-Path: <your-group+bncBCA5XFGRYQLCBEHHVS5AKGQED3J2I7I@yourdomain.com>
Authentication-Results: mx.google.com;
dkim=pass header.i=@yourdomain.com;
spf=pass (google.com: domain of your-group+bncBCA5XFGRYQLCBEHHVS5AKGQED3J2I7I@yourdomain.com designates 2607:f8b0:400d:c04::246 as permitted sender)
smtp.mailfrom=your-group+bncBCA5XFGRYQLCBEHHVS5AKGQED3J2I7I@yourdomain.com;
dmarc=fail (p=NONE dis=NONE) header.from=mydomain.com
From: Chris <chris@mydomain.com>
X-Original-Sender: chris@mydomain.com
X-Original-Authentication-Results: mx.google.com; dkim=pass
header.i=@mydomain.com; spf=pass (google.com: domain of chris@mydomain.com
designates 2607:f8b0:400c:c05::233 as permitted sender)
smtp.mailfrom=chris@mydomain.com;
dmarc=pass (p=NONE dis=NONE) header.from=mydomain.com
DMARC не работает из-за неправильного согласования между доменом From (mydomain) и доменами DKIM и SPF (yourdomain). Однако, когда вы, правильно настроенный пользователь GApps, отправляете почту из Gmail в группу на моем домене, заголовки будут другими.
ХОРОШО
Return-Path: <my-group+bncBCGJ3NF22YBRBTXIVS1RKGQEIWR5E6Q@mydomain.com>
Authentication-Results: mx.google.com;
dkim=pass header.i=@mydomain.com;
spf=pass (google.com: domain of my-group+bncBCGJ3NF22YBRBTXIVS1RKGQEIWR5E6Q@mydomain.com designates 2607:f8b0:4001:c0b::247 as permitted sender) smtp.mailfrom=my-group+bncBCGJ3NF22YBRBTXIVS1RKGQEIWR5E6Q@mydomain.com;
dmarc=pass (p=NONE dis=NONE) header.from=mydomain.com
From: "'You' via my-group" <my-group@ mydomain.com>
Обратите внимание на другую форму заголовка From - исходный отправитель был заменен моей собственной группой. Существует также пара заголовков X-Original, как указано выше, которые имеют ту же форму (только в обратном порядке), поэтому я не вставляю их.
Итак, вопрос в том, как мне настроить свой домен, gapps, dns, mx или что-то еще, чтобы группы Google, которые получают мои сообщения, правильно заменяли заголовок From на «via you-group@yourdomain.com?»
Почта из моего домена пользователям в других доменах работает нормально - DMARC проходит, потому что SPF и DKIM хороши, а обратный путь по-прежнему говорит @mydomain. Я читал статьи о том, зачем нужна "via you-group" - меня это устраивает. Я пытаюсь понять, почему мои сообщения группам не с таким обращением.
Похоже на: Как предотвратить отклонение электронных писем из моего домена через списки рассылки из-за DMARC Отличается тем, что группы Google определенно совместимы с DMARC - у других людей такой проблемы нет.
Обновить: Я нашел эту статью, в которой говорится, что группы Google перезаписывают отправителя только тогда, когда политика DMARC является строгой (p = reject). Это кажется ужасной идеей, поскольку весь смысл начинать с p = none состоит в том, чтобы получить уверенность в том, что ваша почта будет доставлена, когда вы настроите политику, но если это правда, то это может объяснить мою проблему. Кто-нибудь может подтвердить? http://www.spamresource.com/2014/04/google-groups-rewriting-from-addresses.html
Я наконец получил ответ от Google. Я был рад найти кого-то, кто понял проблему, но, к сожалению, похоже, что Google придерживается неправильного подхода к директиве DMARC.
Группы Google перезапишут заголовок From: только в том случае, если политика DMARC исходного отправителя (в данном случае вас) настроена на отклонение или карантин.
Если DMARC / p = none, DKIM не перезаписывается при отправке в группу, но поскольку для DMARC установлено значение «none», не имеет значения, что группа нарушит DKIM с точки зрения доставки и обнаружения спама - он все равно будет доставлен должным образом. К сожалению, это сбивает с толку, если вы следите за своим развертыванием.
Чтобы увидеть правильное поведение, вы можете переключиться на p = quarantine и следить за доставкой. Скажите, пожалуйста, если я могу вам еще чем-нибудь помочь, я буду рад ответить.