DMARC informa que una pequeña fracción de nuestros correos electrónicos provienen de Google, Microsoft y algunos otros proveedores.
DMARC también informa que una buena parte de esos correos electrónicos fallan tanto en SPF como en DKIM y, por lo tanto, fallan en DMARC.
No utilizamos esos proveedores para enviar correos electrónicos, por lo que adivinar esas estadísticas refleja correos electrónicos reenviados y falsificaciones.
Obviamente, SPF fallaría en los correos electrónicos reenviados y falsos, pero ¿es posible que algunos encabezados DKIM legítimos se estropeen durante el tránsito?
Pregunta,
¿Tiene sentido incluir los servidores SPF de Google y Microsoft en nuestro registro SPF para ayudar a pasar DMARC para esos correos electrónicos reenviados, incluso si no los usamos para enviar correos electrónicos?
Soy reacio a hacerlo porque va en contra del espíritu del SPF y ayudará a los falsificadores.
¿O podemos estar bastante seguros de que esos DMARC fallidos reflejan falsificaciones y, en la mayoría de los casos de reenvío, los encabezados DKIM se transmiten intactos?
Respuesta1
Absolutamente no. Parece que SPF/DKIM/DMARC funcionan exactamente según lo previsto para usted.
Su registro SPF solo debe incluir los hosts que realmente utiliza para realizar envíos desde su dominio.
Es casi seguro que esos informes que muestran correos electrónicos de origen de Microsoft y Google se relacionan con mensajes de spam que utilizan esos servicios, por lo que lo último que desea, si terceros reciben correos electrónicos no deseados "desde" su dominio, es realizar búsquedas en su registro SPF y luego aceptarlos. mensajes porque sus registros DNS les dicen que debe ser legítimo.
El único otro escenario que se me ocurre es si alguien en (o trabajando para) su organización utiliza un servicio de Microsoft/Google sin su conocimiento y envía un correo electrónico utilizando uno de esos servicios. En cuyo caso, por ahora no se entregarán hasta que informen a TI lo que están haciendo para que pueda agregar el registro apropiado. Pero nunca agregaría registros SPF basados en informes DMARC, solo cuando SÉ que los correos electrónicos legítimos realmente provienen de allí.
También tenga en cuenta que los correos electrónicos reenviados no causarían ese escenario, ya que no es así como funciona el reenvío, a menos que un usuario sea lo suficientemente estúpido como para reenviar su correo electrónico de su dominio para decir su cuenta de Google, Y luego configurar la cuenta de Google para reenviar correos electrónicos a otra parte también. . Pero no se recomienda reenviar de esa manera y, en mi humilde opinión, si esos correos electrónicos no llegan al destinatario previsto, eso es un problema para la persona que configura mal los reenvíos, no para usted ni para toda su organización.
Respuesta2
Mantenga su registro SPF lo más simple posible; no lo sobrecargue con demasiadas fuentes de envío autorizadas. Cargar su registro SPF con varios hosts puede generar errores y hacer que los receptores de correo electrónico ignoren sus mensajes. Esto puede afectar la reputación del remitente y las tasas de entrega.