0365 почтовых пользователей рекомендуется использовать включить: spf.protection.outlook.com -all в свою запись SPF.
Я следовал этому руководству. В отчете SPF моей компании говорится:
v = spf1 включают: spf.protection.outlook.com -all
запись spf.protection.outlook.com заканчивается на include: spfa.protection.outlook.com -all, которая заканчивается на include: spfb.protection.outlook.com
Каждый из них включает набор CIDR для IP-адресов, используемых outlook.com при отправке электронной почты.
Однако я получаю отчеты DMARC с google.com, указывающие на СБОЙ SPF для IP-адреса, который фактически охвачен одним из включений в записи SPF. Я думаю, что это неверно, но происходит часто.
Вот пример:
source_ip>104.47.117.233</source_ip>
<count>1</count>
-<policy_evaluated>
<disposition>none</disposition>
<dkim>pass</dkim>
<spf>fail</spf>
отклоненный ip является частью ip4: 104.47.0.0/17, который является частью записи spfb.protection.outlook:
spfb.protection.outlook.com. 394 IN TXT "v = spf1 ip6: 2a01: 111: f400 :: / 48 ip4: 23.103.128.0/19 ip4: 23.103.198.0/23 ip4: 65.55.88.0/24 ip4: 104.47.0.0/17 ip4: 23.103.200.0/21 ip4: 23.103.208.0/21 ip4: 23.103.191.0/24 ip4: 216.32.180.0/23 ip4: 94.245.120.64/26 -все "
Итак, почему почтовый сервер Google рассматривает это как сбой SPF?
Это не единичный пример - я часто получаю уведомления об ошибках SPF в отношении IP-адресов, включенных в запись SPF.
Я понял это. Неудивительно, что это я неправильно истолковал отчет, а не Google ошибся в реализации DMARC :)
Результат SPF в разделе оценки политики, который меня смутил (копия опубликована в OP), является результатом SPF, оцененным DMARC. после учитывая выравнивание.
Эта цитата Вот объясняет проблему:
Обратите внимание, что результаты SPF и DKIM в auth_results являются необработанными результатами, независимо от выравнивания идентификатора; Результаты оценки DMARC с выравниванием идентификатора находятся в разделе policy_evaluated.
Я проверил оставшуюся часть записи и обнаружил, что сырой результаты для той же записи, правильно, SPF прошли.
Итак, в отчете DMARC мне говорилось, что, хотя результат SPF действительно был получен с сайта outlook.com (и, следовательно, был необработанным «проходом»), заголовок пути возврата не соответствовал моему домену отправителя, который создает DMARC оценка SPF не работает. Еще одна ссылка Вот.
В принципе, не пытайтесь читать отчеты XML напрямую - это сложно для людей! я нашел этот XML-анализатор DMARC, который отлично справляется с задачей, позволяя вам четко видеть, что вам пытается сказать отчет DMARC.