Есть ли способ заставить DMARC отказывать / отклонять почту, которая не проходит ОБЕИ DKIM и SPF?
Мы сужаем количество отказов, но в нашем сводном (rua) отчете есть некоторые домены, которые передают только DKIM, и мы бы предпочли, чтобы они не сработали в нашем DMARC, потому что мы их не распознаем.
Домены, которые мы распознаем, полностью выровнены.
Наша конечная цель состоит в том, что, если оно не будет полностью согласовано (как DKIM, так и SPF), сообщение будет отклонено.
Согласно основным предположениям, лежащим в основе DMARC, никто не должен иметь возможность пройти либо тест DKIM или SPF в качестве вашего домена, если почта не приходит с контролируемого вами сервера. Пропуска для любого из двух достаточно, чтобы подтвердить это.
Таким образом, нет способа заставить DMARC требовать прохождения обоих, и не должно быть причин для этого.
Если третьи стороны могут пройти тесты DKIM, как вы, и вы не авторизовали их, значит, у вас проблема с безопасностью, и это то, что вам нужно исправить.
Во-первых, убедитесь, что вы не ошиблись при интерпретации отчетов, которые видите. Подписаны ли они DKIM, но с чужим доменом? Если да, то ничего делать не нужно. Но если электронные письма, не авторизованные вами, подписаны DKIM с ваш домен, это означает, что вы делаете что-то не так.
Что нужно сделать:
Создайте новый ключ DKIM, начните подписывать с ним и удалите ссылки на старый ключ из записей DNS (оставление старых записей DNS позволит продолжить использование старого ключа).
Храните секретную часть вашего DKIM-ключа в безопасности. По умолчанию он должен быть скрыт для всех, кроме root на вашем сервере. Так и держи.
Убедитесь, что вы не подписываете почту, поступающую из ненадежных источников. Вам следует добавлять DKIM-подписи только к письмам, исходящим от вас и ваших пользователей.
При использовании OpenDKIM это контролируется параметром InternalHosts, и вам также следует убедиться, что вы не повторно запускаете OpenDKIM после прохождения почты через локальный фильтр или прокси-сервер, что будет выглядеть так, как будто почта исходила изнутри.
DMARC работает так, как задумано; если хотя бы один из SPF или DKIM проходит (и выровнен), сообщение проходит DMARC и доставляется. Скорее всего, сообщения, которые не проходят SPF, но передают DKIM (действительная и выровненная подпись), являются сообщениями, которые были перенаправлены. (Переадресованные сообщения не пройдут SPF, а подпись DKIM может выдержать пересылку.)
Нет, DMARC предназначен для прохождения только DKIM + ADKIM или SPF + ASPF.
Нет необходимости требовать обоих.
Мне трудно понять, как DKIM проходит тест на выравнивание, если ключ d = не соответствует from, он не пройдет тест ADKIM.
Посмотрите, как идентификаторы должны совпадать здесь: Идентификаторы электронной почты DMARC
Даже если вы не указали adkim в своей записи DMARC, по умолчанию установлено значение «Relaxed», которое все равно не будет соответствовать.