Несколько месяцев назад я внедрил SPF / DKIM / DMARC для своей компании из трех человек. После пробного периода я переключил наш DMARC на «p = reject», чтобы электронные письма отклонялись, если они не прошли SPF / DKIM. В общем, это работает: наши электронные письма проходят, и, согласно данным из отчетов DMARC, спамеры, пытающиеся подделать сообщения из нашего домена, отклоняются. Сервер - Ubuntu / Postfix.
Единственное, что не работает, - это то, что для календарей мы использовали календари Google с учетными записями Google с нашей рабочей электронной почтой (с доменом нашей компании, а не с адресами Gmail). Когда один из нас создает приглашение календаря Google (либо на веб-сайте Google, либо через Thunderbird / Lightning с поставщиком для Календаря Google) с участником-получателем с адресом электронной почты, размещенным в Google Apps, Google отклоняет наше электронное письмо с приглашением. В обратном сообщении от Google от имени домена, размещенного в Google Apps, говорится, что отклонение основано на политике DMARC моего домена:
Google попытался доставить ваше сообщение, но оно было отклонено сервером домена получателя [удаленный домен Google Apps] aspmx.l.google.com. Ошибка, возвращенная другим сервером, была следующей: Электронная почта без аутентификации от [Домен моей компании удален] не принимается из-за политики DMARC домена. Пожалуйста, свяжитесь с администратором домена [Домен моей компании удален], если это была легальная почта.
Справа под ним находится (предположительно) действующая подпись DKIM для google.com. Другими словами, Google отклонил собственное электронное письмо, подписанное DKIM, как спам, потому что это не то, что сказано в моей политике DMARC. Но я не могу понять, как сделать так, чтобы моя политика DMARC говорила иначе. Для SPF я могу указать Google в качестве действительного отправителя. Но я не могу найти способ сделать это для DKIM: что-то, что я могу поместить в свою запись DKIM, гласит: «Если у него есть действительная подпись Google DKIM, это не спам». Такое существует? Способ авторизации другого подписанта DKIM, кроме домена "От"?
Обратите внимание, что в DNS можно опубликовать несколько селекторов DKIM. Тот, который вы уже используете для локального сервера, а другой для почты, исходящей из Google Apps (например, ubuntu._domainkey.yourdomain.com
и google._domainkey.yourdomain.com
). Включить DKIM входящие в настройки Google Apps и приглашения Календаря будут подписаны подписями как google.com, так и yourdomain.com (последняя будет соответствовать google._domainkey.yourdomain.com
селектор). Это должно решить проблему с DMARC, если у вас есть IP-пространство Google, уже добавленное в определение SPF. Надеюсь это поможет.
в отличие от SPF, который mail from
и DKIM, который является заголовком / содержанием сообщения, dmarc основан на from
заголовок. Итак, ваш SPF (который я бы порекомендовал вам добавить Google, если вам нужно использовать календарь Google).
Начните с добавления spf google и убедитесь, что dmark настроен на расслабление, они используют информацию из ваших отчетов криминалистической экспертизы dmarc для внесения более определенных корректировок.
Я отправлю электронное письмо группе dmarc и посмотрю, есть ли у них какие-либо другие рекомендации. Если вы зарегистрированы даже с одной учетной записью электронной почты в приложениях Google, вы можете ретранслировать всю электронную почту с внутреннего сервера (например, вашего почтового сервера).