Недавно мы перешли на карантинную политику и думаем об отказе от нее, но мы наткнулись на проблему, причину которой не можем определить. В частности, в переадресованных электронных письмах возникают проблемы, и мы не можем понять, почему.
Мы используем Mailgun для управления электронной почтой. Наш SPF установлен на:
v = spf1 include: _spf.google.com include: mailgun.org ~ все
И наш DMARC настроен на:
v = DMARC1; p = карантин; sp = none; adkim = r; aspf = r; pct = 100; fo = 0; rf = afrf; ri = 600; rua = mailto: gtc5ysbx@ag.dmarcian.com
Наш последний отчет DMARC выглядит следующим образом (вставлен в виде PDF-файла в один из наших доменов, чтобы сохранить форматирование для вас): https://www.insurancetrendsresearch.com/DMARC_ITR.pdf
Мне бы очень хотелось помочь понять, почему мы страдаем от несогласованности SPF? Похоже, наши записи DKIM и SPF в порядке - по большей части, все проходит - но в некоторых случаях мы терпим неудачу (по крайней мере, DMARCIAN заставил нас поверить, что это только нападающие). Интересно, почему?
Обратите внимание - мы отправляем почту только из Google Apps и MailGun - больше нигде в данный момент.
Спасибо,
Эли
Это ожидаемое поведение. DMARC требует, чтобы хотя бы один из SPF или DKIM прошел тесты аутентификации и согласования. Переадресованные сообщения не проходят аутентификацию SPF; однако наиболее правильно переадресованные сообщения будут проходить аутентификацию DKIM (при условии, что подписанные элементы сообщения не изменены).
Обеспечение правильной подписи ваших сообщений с использованием DKIM позволит перенаправленным сообщениям пройти тесты согласования DMARC и доставляться в почтовый ящик получателя, несмотря на сбой аутентификации SPF из-за пересылки.
Для получения дополнительной информации см. Проблемы взаимодействия между доменной аутентификацией сообщений, отчетностью и соответствием (DMARC) и косвенными потоками электронной почты.
Я также предлагаю перейти от «~ all» к «-all», если вы уверены, что определили всех допустимых отправителей в своей записи SPF. '~ all' указывает, что ваш домен находится в процессе перехода (по сути, тестируется) и, возможно, не идентифицировал все допустимые источники в вашей записи SPF, в то время как '-all' указывает, что вы «перешли» (завершили тестирование), любой отправитель, не указанный в списке, является подозреваемый.
Поскольку вы опубликовали политику 'p = quarantine', вы можете получать отчеты о судебно-медицинской экспертизе на свой почтовый ящик 'ruf = mailto: ...'; изучение этих отчетов судебно-медицинской экспертизы должно предоставить дополнительную информацию о причине несоответствия (наиболее вероятная пересылка). Если это так, вы должны чувствовать себя уверенно, переходя к политике «p = reject».
Продолжайте двигаться к политике SPF «-all» и политике DMARC «p = reject» (конечная цель); что-то меньшее оставляет ваш домен незащищенным.