Ayuda de SPF y DKIM: ¿Los informes FAIL de DMARC indican un problema?

tag-icon tag-icon email spf dkim dmarc
Ayuda de SPF y DKIM: ¿Los informes FAIL de DMARC indican un problema?

Tengo problemas para determinar si mi SPF y DKIM están configurados correctamente. Aquí hay detalles clave:

  • Mi dominio es mysteryscience.com
  • Enviamos correo desde aplicaciones de Google, desde SendGrid y desde Intercom. Todo parece funcionar correctamente, aunque escucho casos en los que nuestros correos electrónicos se marcan como spam, por eso estoy investigando esto.
  • He habilitado SPF, DKIM y DMARC
  • Mi registro SPF parece ser semánticamente correcto (verificado aquí:http://www.kitterman.com/spf/validate.html)
  • Mi registro SPF TXT es: v=spf1 ip4:198.21.0.234 include:_spf.google.com include:spf.mail.intercom.io -all
  • 198.21.0.234 es mi dirección IP dedicada para enviar a través de SendGrid (mail.mysteryscience.com es mi CNAME para reenviarlos)

He habilitado DMARC y estoy revisando los correos electrónicos que recibo de varios servidores de correo. Mientras revisaba mis resultados de Google.com, noté que fallaban varios SPF y DKIM. Parece que pueden haber sido rechazos de correos electrónicos legítimos que envié, pero no estoy seguro de cómo leer este archivo. Éstos son algunos de los resultados, tenga en cuenta el "fallo" en algunas de las líneas < dkim > y < spf >. Y aquí hay una versión procesada por dmarcian del archivo XML:https://dmarcian.com/dmarc-xml/details/Ybk591jex3JpVBmW/

<record>
<row>
  <source_ip>207.46.163.143</source_ip>
  <count>1</count>
  <policy_evaluated>
    <disposition>none</disposition>
    <dkim>pass</dkim>
    <spf>fail</spf>
  </policy_evaluated>
</row>
<identifiers>
  <header_from>mysteryscience.com</header_from>
</identifiers>
<auth_results>
  <dkim>
    <domain>mysteryscience.com</domain>
    <result>pass</result>
  </dkim>
  <spf>
    <domain>granderie.ca</domain>
    <result>pass</result>
  </spf>
</auth_results>
</record>
<record>
<row>
  <source_ip>209.85.212.178</source_ip>
  <count>1</count>
  <policy_evaluated>
    <disposition>none</disposition>
    <dkim>fail</dkim>
    <spf>pass</spf>
  </policy_evaluated>
</row>
<identifiers>
  <header_from>mysteryscience.com</header_from>
</identifiers>
<auth_results>
  <spf>
    <domain>mysteryscience.com</domain>
    <result>pass</result>
  </spf>
</auth_results>
</record>
<record>
<row>
  <source_ip>2607:f8b0:4001:c05::232</source_ip>
  <count>1</count>
  <policy_evaluated>
    <disposition>none</disposition>
    <dkim>pass</dkim>
    <spf>fail</spf>
  </policy_evaluated>
</row>
<identifiers>
  <header_from>mysteryscience.com</header_from>
</identifiers>
<auth_results>
  <dkim>
    <domain>mysteryscience.com</domain>
    <result>pass</result>
  </dkim>
  <spf>
    <domain>mail.mysteryscience.com</domain>
    <result>fail</result>
  </spf>
</auth_results>
</record>
<record>
<row>
  <source_ip>198.236.20.44</source_ip>
  <count>1</count>
  <policy_evaluated>
    <disposition>none</disposition>
    <dkim>pass</dkim>
    <spf>fail</spf>
  </policy_evaluated>
</row>
<identifiers>
  <header_from>mysteryscience.com</header_from>
</identifiers>
<auth_results>
  <dkim>
    <domain>mysteryscience.com</domain>
    <result>pass</result>
  </dkim>
  <spf>
    <domain>mail.mysteryscience.com</domain>
    <result>fail</result>
  </spf>
</auth_results>
</record>
<record>
<row>
  <source_ip>209.85.212.175</source_ip>
  <count>1</count>
  <policy_evaluated>
    <disposition>none</disposition>
    <dkim>fail</dkim>
    <spf>pass</spf>
  </policy_evaluated>
</row>
<identifiers>
  <header_from>mysteryscience.com</header_from>
</identifiers>
<auth_results>
  <spf>
    <domain>mysteryscience.com</domain>
    <result>pass</result>
  </spf>
</auth_results>
</record>
<record>
<row>
  <source_ip>209.85.215.44</source_ip>
  <count>1</count>
  <policy_evaluated>
    <disposition>none</disposition>
    <dkim>fail</dkim>
    <spf>fail</spf>
  </policy_evaluated>
</row>
<identifiers>
  <header_from>mysteryscience.com</header_from>
</identifiers>
<auth_results>
  <spf>
    <domain>nurturingwisdom.com</domain>
    <result>fail</result>
  </spf>
</auth_results>
</record>
<record>
<row>
  <source_ip>2607:f8b0:4003:c06::236</source_ip>
  <count>2</count>
  <policy_evaluated>
    <disposition>none</disposition>
    <dkim>pass</dkim>
    <spf>fail</spf>
  </policy_evaluated>
</row>
<identifiers>
  <header_from>mysteryscience.com</header_from>
</identifiers>
<auth_results>
  <dkim>
    <domain>mysteryscience.com</domain>
    <result>pass</result>
  </dkim>
  <spf>
    <domain>ssanpete.org</domain>
    <result>none</result>
  </spf>
</auth_results>

¿Alguien puede ayudarme a determinar si estos fallos de SPF y DKIM son problemáticos?

Respuesta1

Realicé algunas consultas como spfquery --mfrom mail.mysteryscience.com -ip 2607:f8b0:4001:c05::232las de los resultados que proporcionaste. Parece que no ha configurado SPF para mail.mysteryscience.compermitir que Google entregue correo electrónico para ese dominio. Eso explica los fallos del SPF en los envíos de Google. La consulta anterior se basa en los dominios enumerados en el registro.

Hay algunos registros que parecen ser spam, por lo que deberían estar en la lista.

Es posible que tenga problemas similares con el correo electrónico que no tiene las firmas DKIM adecuadas. Algunos pueden ser spam o puede que tengas rutas de entrega que no firmen el correo electrónico con la firma esperada.

Respuesta2

  1. Analice su DMARC XML en algún lugar como dmarcian, para que su información sea legible por humanos
  2. ¿Adónde va la puerta de enlace saliente de Google? ¿Tienes una puerta de enlace configurada? Si no, no hay nada que cambiar.
  3. DKIM está fallando, ¿estás firmando tus correos electrónicos sin una clave pública publicada? revisa tu DNS.
  4. Registros SPF para subdominios, solo los necesita si el servidor de correo acepta correos electrónicos y envía NDR. un registro de subdominio típico sería:

mail.example.com. IN A 93.184.216.34

mail.example.com. IN TXT "v=spf1 a -all"

información relacionada