Назад | Перейти на главную страницу

Выравнивание DMARC: принудительно передавать сообщения как SPF, так и DKIM

Есть ли способ заставить DMARC отказывать / отклонять почту, которая не проходит ОБЕИ DKIM и SPF?

Мы сужаем количество отказов, но в нашем сводном (rua) отчете есть некоторые домены, которые передают только DKIM, и мы бы предпочли, чтобы они не сработали в нашем DMARC, потому что мы их не распознаем.

Домены, которые мы распознаем, полностью выровнены.

Наша конечная цель состоит в том, что, если оно не будет полностью согласовано (как DKIM, так и SPF), сообщение будет отклонено.

Согласно основным предположениям, лежащим в основе DMARC, никто не должен иметь возможность пройти либо тест DKIM или SPF в качестве вашего домена, если почта не приходит с контролируемого вами сервера. Пропуска для любого из двух достаточно, чтобы подтвердить это.

Таким образом, нет способа заставить DMARC требовать прохождения обоих, и не должно быть причин для этого.

Если третьи стороны могут пройти тесты DKIM, как вы, и вы не авторизовали их, значит, у вас проблема с безопасностью, и это то, что вам нужно исправить.

Во-первых, убедитесь, что вы не ошиблись при интерпретации отчетов, которые видите. Подписаны ли они DKIM, но с чужим доменом? Если да, то ничего делать не нужно. Но если электронные письма, не авторизованные вами, подписаны DKIM с ваш домен, это означает, что вы делаете что-то не так.

Что нужно сделать:

  • Создайте новый ключ DKIM, начните подписывать с ним и удалите ссылки на старый ключ из записей DNS (оставление старых записей DNS позволит продолжить использование старого ключа).

  • Храните секретную часть вашего DKIM-ключа в безопасности. По умолчанию он должен быть скрыт для всех, кроме root на вашем сервере. Так и держи.

  • Убедитесь, что вы не подписываете почту, поступающую из ненадежных источников. Вам следует добавлять DKIM-подписи только к письмам, исходящим от вас и ваших пользователей.

    При использовании OpenDKIM это контролируется параметром InternalHosts, и вам также следует убедиться, что вы не повторно запускаете OpenDKIM после прохождения почты через локальный фильтр или прокси-сервер, что будет выглядеть так, как будто почта исходила изнутри.

DMARC работает так, как задумано; если хотя бы один из SPF или DKIM проходит (и выровнен), сообщение проходит DMARC и доставляется. Скорее всего, сообщения, которые не проходят SPF, но передают DKIM (действительная и выровненная подпись), являются сообщениями, которые были перенаправлены. (Переадресованные сообщения не пройдут SPF, а подпись DKIM может выдержать пересылку.)

Нет, DMARC предназначен для прохождения только DKIM + ADKIM или SPF + ASPF.

Нет необходимости требовать обоих.

Мне трудно понять, как DKIM проходит тест на выравнивание, если ключ d = не соответствует from, он не пройдет тест ADKIM.

Посмотрите, как идентификаторы должны совпадать здесь: Идентификаторы электронной почты DMARC

Даже если вы не указали adkim в своей записи DMARC, по умолчанию установлено значение «Relaxed», которое все равно не будет соответствовать.