简而言之
我已经在我的域上配置了 SPF 策略,但我收到一个失败的 dmarc 报告。我不明白为什么会有这种失败。
更多背景信息
我为我的域zerowasteparis.fr配置了以下 spf 策略:v=spf1 include:spf.infomaniak.ch include:servers.mcsv.net include:_spf.google.com ~all。我看到servers.mcsv.net决心v=spf1 ip4:205.201.128.0/20 ip4:198.2.128.0/18 ip4:148.105.8.0/21 ?all(我还配置了一个 dkim 策略,它似乎工作得很好(。
我不明白为什么我收到一份dmarc报告,其中特别包含:
<record>
<row>
<source_ip>198.2.190.251</source_ip>
<count>1</count>
<policy_evaluated>
<disposition>none</disposition>
<dkim>pass</dkim>
<spf>fail</spf>
</policy_evaluated>
</row>
<identifiers>
<header_from>zerowasteparis.fr</header_from>
</identifiers>
<auth_results>
<dkim>
<domain>automations.mcsv.net</domain>
<result>pass</result>
<selector>k1</selector>
</dkim>
<dkim>
<domain>zerowasteparis.fr</domain>
<result>pass</result>
<selector>k1</selector>
</dkim>
<spf>
<domain>mail251.suw12.mcsv.net</domain>
<result>pass</result>
</spf>
</auth_results>
</record>
我不明白为什么它包含行<spf>fail</spf>.
为什么我感到困惑
- 从技术工程的角度来看,如果我没记错的话
198.2.190.251在ip4:198.2.128.0/18范围内(因为它 表示范围198.2.128.0到198.2.191.255( - 从社会工程的角度来看,这意味着mailchimp spf doc是不正确的,但由于他们的工作是发送电子邮件,所以我有 难以相信。
长话短说:我不明白为什么我在这份报告中看到这个失败
Mailchimp(与其他知名ESP的数量一样(的设计方式是使用它们在MailFrom(RFC5321中自己的电子邮件地址。邮件发件人(。这背后的主要原因是处理竞选电子邮件的退回。
SPF 验证执行检查源/发件人 IP 是否包含在"邮件发件人"字段中提到的域的 SPF 记录中。
- XML 文件中的域标记包含从邮件头的smtp.mailfrom:mail251.suw12.mcsv.net中检索的域
- source_ip标签:198.2.190.251
- 为 mail251.suw12.mcsv.net 域定义的 SPF 记录:v=spf1 ip4:198.2.190.251 包括:spf.mandrillapp.com ?all,即发送 IP 被 SPF 覆盖。
这就是为什么在auth_results部分中有 SPF=pass 的原因。
<spf>
<domain>mail251.suw12.mcsv.net</domain>
<result>pass</result>
</spf>
与 SPF 不同,DMARC 验证会检查"发件人"字段 (RFC5322 中是否提及域。发件人(与邮件发件人(RFC5321中提到的域匹配/对齐。邮件发件人(
- 来自source_ip标签的 198.2.190.251 的 rDNS/PTRmail251.suw12.mcsv.net
- 标签中提到的header_from域:zerowasteparis.fr
- 因此,域在RFC5322。从 (zerowasteparis.fr( 与RFC5321中的域不匹配/不一致。邮件发件人 (mcsv.net(
这就是为什么你在policy_evaluated部分中得到 SPF=fail 的原因。
<policy_evaluated>
<disposition>none</disposition>
<dkim>pass</dkim>
<spf>fail</spf>
</policy_evaluated>
</row>
<identifiers>
<header_from>zerowasteparis.fr</header_from>
</identifiers>
除了上述解释之外,我建议您部署 DMARC.org 网站上列出的DMARC分析和实施解决方案之一,例如EasyDMARC。