DMARC/SPF/DKIM не аутентифицируется сторонней почтой

Question

DMARC/SPF/DKIM не аутентифицируется сторонней почтой

Недавно мы внедрили запись DMARC для нашего домена:

"v = DMARC1; p = карантин; pct = 100; rua = mailto: me@mydomain.com"

(изолировать 100% неаутентифицированных писем и отправить сводный отчет "мне")

Мы используем стороннего поставщика для выдачи приглашений. Поставщик отправляет электронное письмо с invites@invites.vendordomain.com, которое затем отправляется через почтовое реле "smtp3.mailrelaydomain.it". Я также знаю, что почтовый ретранслятор использует один IP-адрес.

Этот адрес включен в нашу запись SPF:

"v = spf1... [ссылка SNIP для других почтовых серверов SNIP]... ip4:[IP-адрес для ретрансляции почты] ~all"

Когда я отправляю приглашение через службу поставщика, сообщение помещается на карантин.

Когда я просматриваю сводный отчет DMARC, я вижу, что приглашение:

распознается как авторизованный с сервера SPF
проходит проверку подлинности SPF для домена отправителя (invites@invites.vendordomain.com")
проходит проверку подлинности DKIM для домена ретрансляции почты (smtp3.mailrelaydomain.it)
Сбой аутентификации DMARC для DKIM и SPF для mydomain

Вот пример заголовков из приглашения.

НАЧАТЬ ОБРАЗЕЦ ЭЛЕКТРОННОЙ ПОЧТЫ

Delivered-To: someone@mydomain.com
Received: by 10.64.252.9 with SMTP id zo9csp100581iec;
        Wed, 21 Oct 2015 11:40:13 -0700 (PDT)
X-Received: by 10.55.195.147 with SMTP id r19mr12995508qkl.12.1445452813709;
        Wed, 21 Oct 2015 11:40:13 -0700 (PDT)
Return-Path: <invites@invites.vendordomain.com>
Received: from smtp3.mailrelaydomain.it (smtp3.mailrelaydomain.it. [ip for mail relay])
        by mx.google.com with ESMTP id w15si9297939qha.131.2015.10.21.11.40.13
        for <someone@mydomain.com>;
        Wed, 21 Oct 2015 11:40:13 -0700 (PDT)
Received-SPF: pass (google.com: domain of invites@invites.vendordomain.com designates [mail relay ip] as permitted sender) client-ip=[mail relay ip];
Authentication-Results: mx.google.com;
       spf=pass (google.com: domain of invites@invites.vendordomain.com designates [mail relay ip] as permitted sender) smtp.mailfrom=invites@invites.vendordomain.com;
       dkim=pass header.i=@mailrelaydomain.it;
       dmarc=fail (p=QUARANTINE dis=QUARANTINE) header.from=mydomain.com
Received: from FS-S05.vendorparentdomain.com (unknown [vendor parent ip])
    (using TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits))
    (No client certificate requested)
    by smtp3.mailrelaydomain.it (Postfix) with ESMTPSA id 23387A0CBC
    for <someone@mydomain.com>; Wed, 21 Oct 2015 15:07:35 -0400 (EDT)
DKIM-Signature: [DKIM Content]
Content-Type: multipart/alternative;
 boundary="===============2166944298367943586=="
MIME-Version: 1.0
Subject: Please take our survey
From: Me <me@mydomain.com>
To: Someone Else <someone@mydomain.com>
Cc: 
Date: Wed, 21 Oct 2015 18:39:48 -0000
Message-ID: <20151021183948.27448.90706@FS-S05.vendorparentdomain.com>
List-Unsubscribe: [unsubscribe link],
 <mailto:invites@invites.vendordomain.com>
Reply-To: Me <me@mydomain.com>
X-Sender: invites@invites.vendordomain.com

Я полагаю, что проблема связана с доменом from в сообщении, не соответствующем домену для конверта сообщения; однако поставщик не может изменить свои настройки (т. е. конверт всегда будет принадлежать домену поставщика), поэтому любой шанс на такую работу с DMARC должен исходить с моей стороны.

Зная, что запись SPF может (и действительно) идентифицировать приглашение как полученное с авторизованного сервера SPF, есть ли какие-либо другие параметры или записи, которые я могу добавить, чтобы также обеспечить аутентификацию DMARC для приглашений от поставщика?

Прочитав несколько онлайн-статей и "Запросы на запись DMARC -spf и DKIM", я подозреваю, что мне не повезло, но я должен задать вопрос прямо / конкретно для моей ситуации, чтобы быть уверенным.

Спасибо

7

authentication email spf dkim dmarc

Источник

user3776785 22 окт '15 в 18:48

1 ответ

Решение

Другие вопросы по тегам authentication email spf dkim dmarc

user3961852 23 окт '15 в 16:45 2015-10-23 16:45 · Accepted Answer · 2015-10-23 16:45

Вы правы, вам не повезло, если продавец не может что-то изменить. Что не удается, так это выравнивание идентификатора - https://tools.ietf.org/html/rfc7489 - потому что то, что проверяется (invites.vendordomain.com через SPF), не выравнивается по домену, который видит пользователь (я @ mydomain.com), а затем сообщение корректно завершается с ошибкой DMARC.

Есть три варианта:

Прекратить отправку с заголовком From: вашего домена у поставщика; вы все еще можете использовать заголовок Reply-To: с вашим собственным адресом.
Попросите поставщика настроить отправку почты на ваш домен. Если они этого не делают, они не могут пройти DMARC, и в какой-то момент они захотят пройти DMARC, или люди найдут другие решения. Вы можете отправить их с конвертом от vendorname.mydomain.com и настроить MX для этого субдомена, который указывает на них для поддержки обработки отказов. Это был ППГ некоторое время.
Сделайте так, чтобы продавец подписал с DKIM, а мы подписали DKIM. Это также лучшая обычная практика. Для прохождения вам нужен только SPF или DKIM, а проходы DKIM более ценны (потому что они во многих случаях сохраняют пересылку), чем SPF, так что это вариант, который я бы лично расставил по приоритетам на вашем месте.

Еще в 2012 и 2013 годах многие поставщики отодвинули оба этих варианта, но, честно говоря, я давно не видел поставщика (я трачу 100% своей дневной работы на DMARC), который по крайней мере не будет поддерживать выровненный DKIM.