DMARC: хост ESP как отправитель в отчете
Мы отправляем электронные письма. Мы отправляем тысячи электронных писем в день, потому что у нас есть клиенты, которые хотели бы, чтобы мы были проинформированы (и у нас есть их согласие;)).
И мы только что включили DMARC с p=none, чтобы посмотреть, что произойдет. И вот оно приходит:
<?xml version="1.0"?>
<feedback>
<report_metadata>
<org_name>Yahoo! Inc.</org_name>
<email>postmaster@dmarc.yahoo.com</email>
<report_id>report.id.here</report_id>
<date_range>
<begin>1545350400</begin>
<end>1545436799</end>
</date_range>
</report_metadata>
<policy_published>
<domain>our-email-domain.tld</domain>
<adkim>r</adkim>
<aspf>r</aspf>
<p>none</p>
<pct>100</pct>
</policy_published>
<record>
<row>
<source_ip>209.85.221.48</source_ip>
<count>1</count>
<policy_evaluated>
<disposition>none</disposition>
<dkim>pass</dkim>
<spf>fail</spf>
</policy_evaluated>
</row>
<identifiers>
<header_from>our-email-domain.tld</header_from>
</identifiers>
<auth_results>
<dkim>
<domain>gmail.com</domain>
<result>neutral</result>
</dkim>
<spf>
<domain>gmail.com</domain>
<result>pass</result>
</spf>
</auth_results>
</record>
<record>
<row>
<source_ip>212.227.15.3</source_ip>
<count>1</count>
<policy_evaluated>
<disposition>none</disposition>
<dkim>pass</dkim>
<spf>fail</spf>
</policy_evaluated>
</row>
<identifiers>
<header_from>our-email-domain.tld</header_from>
</identifiers>
<auth_results>
<dkim>
<domain>srs.web.de</domain>
<result>neutral</result>
</dkim>
<spf>
<domain>srs.web.de</domain>
<result>pass</result>
</spf>
</auth_results>
</record>
<record>
<row>
<source_ip>212.227.15.3</source_ip>
<count>1</count>
<policy_evaluated>
<disposition>none</disposition>
<dkim>pass</dkim>
<spf>fail</spf>
</policy_evaluated>
</row>
<identifiers>
<header_from>our-email-domain.tld</header_from>
</identifiers>
<auth_results>
<dkim>
<domain>web.de</domain>
<result>neutral</result>
</dkim>
<spf>
<domain>web.de</domain>
<result>pass</result>
</spf>
</auth_results>
</record>
<record>
<row>
<source_ip>OUR.MX.IP</source_ip>
<count>175</count>
<policy_evaluated>
<disposition>none</disposition>
<dkim>pass</dkim>
<spf>pass</spf>
</policy_evaluated>
</row>
<identifiers>
<header_from>our-email-domain.tld</header_from>
</identifiers>
<auth_results>
<dkim>
<domain>our-email-domain.tld</domain>
<result>neutral</result>
</dkim>
<spf>
<domain>our-email-domain.tld</domain>
<result>pass</result>
</spf>
</auth_results>
</record>
<record>
<row>
<source_ip>77.238.176.162</source_ip>
<count>1</count>
<policy_evaluated>
<disposition>none</disposition>
<dkim>pass</dkim>
<spf>fail</spf>
</policy_evaluated>
</row>
<identifiers>
<header_from>our-email-domain.tld</header_from>
</identifiers>
<auth_results>
<dkim>
<domain>our-email-domain.tld</domain>
<result>neutral</result>
</dkim>
<spf>
<domain>our-email-domain.tld</domain>
<result>softfail</result>
</spf>
</auth_results>
</record>
</feedback>
Это отчет от Yahoo, и я вижу довольно похожие отчеты от Google и многих других ESP.
- 209.85.221.48 - Google пересылает электронную почту в Yahoo?
- 212.227.15.3 - web.de дважды пересылается в Yahoo с разных хостов??
- 77.238.176.162 - хост Yahoo перенаправлен на другой хост Yahoo???
Что будет со всеми этими письмами, когда я включу карантин? Я могу понять, если кто-то хочет получать электронные письма от всех его maiboxes в одном. Что я не могу понять - почему ESP анализируют DKIM/SPF при передаче сообщений между их собственными хостами? В этом случае политики должны потерпеть неудачу, и получатель получит их в спаме в случае p = карантина, нет?
1 ответ
Чтобы ответить на ваши конкретные вопросы: 1. Да, это кажется правильным. 2. Да, это кажется правильным. 3. Да, это кажется правильным.
Есть много примеров, когда такие ситуации возникают. Простые правила пересылки для получения вашего рабочего электронного письма в личном почтовом ящике одно. Другой случай, когда ваша компания (как получатель) использует GSuite и использует группы (списки рассылки) для пересылки электронных писем конечному получателю - пользователям. Google также сообщит об этом в DMARC.
Другой распространенный случай - когда внешние фильтры безопасности электронной почты пересылают входящие электронные письма на сервер электронной почты, который проверяет соответствие DMARC и отправляет отчеты.
Что будет со всеми этими письмами, когда я включу карантин?
Как правило, DMARC будет проходить, когда SPF или DKIM генерируют результат прохождения в соответствии с Header.From домен, найденный в <identifiers> узел в отчете XML. Эти результаты перечислены в <policy_evaluated> узел.
Во всех ваших примерах <policy_evaluated> результаты показывают результат DKIM Pass, поэтому он должен передавать DMARC. Тем не менее, в ваших примерах все оценки DKIM в <auth_results> узел показать neutral результат для DKIM, включая тот, который был отправлен с вашего IP-адреса записи MX.
RFC 7601 утверждает следующее на neutral Результат для DKIM:
нейтральный: сообщение было подписано, но подпись или подписи содержали синтаксические ошибки или не могли быть обработаны иным образом. Этот результат также используется для других сбоев, не охваченных в другом месте в этом списке.
Это может быть особая проблема с проверкой DKIM от Yahoo, но лучше всего проверить состояние DKIM в отчетах DMARC от Google (и других).
Заключительный совет: проверьте результаты DKIM в других отчетах DMARC, прежде чем переходить к p= карантину.