Todos los días recibo un informe DMARC de Google. Incluyen registros de nuestros propios correos electrónicos salientes, varios socios externos que hemos autorizado a enviar en nuestro nombre y varios spammers que intentan falsificar nuestro dominio. Pero aquí hay algo extraño: también incluyen algunos servidores propios de Google:
<record>
<row>
<source_ip>209.85.215.197</source_ip>
<count>1</count>
<policy_evaluated>
<disposition>none</disposition>
<dkim>fail</dkim>
<spf>fail</spf>
<reason>
<type>local_policy</type>
<comment>arc=pass</comment>
</reason>
</policy_evaluated>
</row>
<identifiers>
<header_from>mydomain.com</header_from>
</identifiers>
<auth_results>
<spf>
<domain>mydomain.com</domain>
<result>softfail</result>
</spf>
</auth_results>
</record>
whoismuestra que 209.85.215.197 es parte de Google:
NetRange: 209.85.128.0 - 209.85.255.255
CIDR: 209.85.128.0/17
NetName: GOOGLE
NetHandle: NET-209-85-128-0-1
Parent: NET209 (NET-209-0-0-0-0)
NetType: Direct Allocation
OriginAS:
Organization: Google LLC (GOGL)
RegDate: 2006-01-13
Updated: 2012-02-24
Ref: https://rdap.arin.net/registry/ip/209.85.128.0
Estoy tratando de descubrir qué está pasando aquí y solo se me ocurren algunas cosas:
- Algunos de los clientes de Google son spammers y envían correos electrónicos a direcciones de Gmail mientras intentan utilizar nuestro dominio.
- Google no incluye sus propios servidores en la lista blanca
- Soy tonto y no entiendo algo sobre DMARC.
Obtengo al menos 10 de estos por día de IP aleatorias en ese bloque de red,siempreacompañado de un registro de nuestra propia dirección IP que muestra los correos electrónicos que se envían. Esto me lleva a creer que es el número 2: correos electrónicos válidos que circulan por la infraestructura de Google y producen comentarios DMARC cuando no deberían serlo.
Si sees#2, ¿alguien sabe a quién contactar para detenerlo? Es molesto tener que incluir en la lista blanca o ignorar su bloqueo de red.
Respuesta1
- Sí, algunos de los clientes de Google son spammers.
- Además sí, Google es muy consciente de esto y lo hace.noconfían ciegamente en el correo transmitido por sus propios sistemas.
- No hay nada inusual en que estas IP aparezcan en sus informes DMARC. Usted solicitó recibir informes sobre cómo se manejó el correo de su dominio, así quepor supuestoGoogle también informa cómo se manejó el correo de su dominio cuando lo transmitió ese servidor en particular.
- Esta es la información que recibes.además de lo que potencialmente ya se ha informadopor el primero
Receiver(Sí, en DMARC incluso el correo que será reenviado puede ser reportado por el primer destinatario). Esta información adicional no reduce la información sobre el origen del posible spam que usted puede o no recibir también.
Sin embargo, lo que creo es la pista más interesante que le brinda este informe:Verifique su configuración DKIM.
Tengo IP de Google similares en mis informes, y cada mensaje que se informa que se envía allí también lleva al menos una firma alineada y de validación.
Google aceptó ese correo basándose en la firma ARC, según los resultados de autenticación registrados por el servidor de retransmisión. Si estuviera firmando encabezados adecuados con una clave alineada, su mensaje podría reenviarse con la firma DKIM intacta. Google le informaría de un pase de firma DKIM, en lugar de recurrir a una decisión basada en la información agregada por el servidor de reenvío.
Para casi todos los servidores de correo, su configuración DKIMdeberíaPermita que las personas que utilizan Google como proveedor de correo reenvíen su correo a otra bandeja de entrada de ellos, sin tener que romper la firma.
Acerca de su comentario sobre la posibilidad de revelar, al remitente, qué sistemas se utilizan para retransmitir correo desde un servidor de correo público con acceso a Internet: esto es conocido y considerado aceptable por cualquiera que desee enviar correo a través de Internet. Se espera que los operadores de servidores consideren las implicaciones de reenviar correo antes de permitir que sus usuarios lo hagan.