Ajuda SPF e DKIM: Os relatórios FAIL do DMARC indicam um problema?

tag-icon tag-icon email spf dkim dmarc
Ajuda SPF e DKIM: Os relatórios FAIL do DMARC indicam um problema?

Estou tendo problemas para determinar se meu SPF e DKIM estão configurados corretamente. Aqui estão os principais detalhes:

  • Meu domínio é Mysteryscience.com
  • Enviamos e-mails do Google Apps, do SendGrid e do Intercom. Tudo parece estar funcionando corretamente, embora eu ouça casos de nossos e-mails sendo sinalizados como spam, e é por isso que estou investigando isso.
  • Habilitei SPF, DKIM e DMARC
  • Meu registro SPF parece estar semanticamente correto (verificado aqui:http://www.kitterman.com/spf/validate.html)
  • Meu registro SPF TXT é: v=spf1 ip4:198.21.0.234 include:_spf.google.com include:spf.mail.intercom.io -all
  • 198.21.0.234 é meu endereço IP dedicado para envio através do SendGrid (mail.mysteryscience.com é meu encaminhamento CNAME para eles)

Ativei o DMARC e estou revisando os e-mails que recebo de vários servidores de e-mail. Ao revisar meus resultados do Google.com, notei várias falhas de SPF e DKIM. Parece que foram rejeições de e-mails legítimos que enviei, mas não sei como ler este arquivo. Aqui estão alguns dos resultados, observe a "falha" em algumas das linhas < dkim > e < spf >. E aqui está uma versão processada dmarcian do arquivo XML:https://dmarcian.com/dmarc-xml/details/Ybk591jex3JpVBmW/

<record>
<row>
  <source_ip>207.46.163.143</source_ip>
  <count>1</count>
  <policy_evaluated>
    <disposition>none</disposition>
    <dkim>pass</dkim>
    <spf>fail</spf>
  </policy_evaluated>
</row>
<identifiers>
  <header_from>mysteryscience.com</header_from>
</identifiers>
<auth_results>
  <dkim>
    <domain>mysteryscience.com</domain>
    <result>pass</result>
  </dkim>
  <spf>
    <domain>granderie.ca</domain>
    <result>pass</result>
  </spf>
</auth_results>
</record>
<record>
<row>
  <source_ip>209.85.212.178</source_ip>
  <count>1</count>
  <policy_evaluated>
    <disposition>none</disposition>
    <dkim>fail</dkim>
    <spf>pass</spf>
  </policy_evaluated>
</row>
<identifiers>
  <header_from>mysteryscience.com</header_from>
</identifiers>
<auth_results>
  <spf>
    <domain>mysteryscience.com</domain>
    <result>pass</result>
  </spf>
</auth_results>
</record>
<record>
<row>
  <source_ip>2607:f8b0:4001:c05::232</source_ip>
  <count>1</count>
  <policy_evaluated>
    <disposition>none</disposition>
    <dkim>pass</dkim>
    <spf>fail</spf>
  </policy_evaluated>
</row>
<identifiers>
  <header_from>mysteryscience.com</header_from>
</identifiers>
<auth_results>
  <dkim>
    <domain>mysteryscience.com</domain>
    <result>pass</result>
  </dkim>
  <spf>
    <domain>mail.mysteryscience.com</domain>
    <result>fail</result>
  </spf>
</auth_results>
</record>
<record>
<row>
  <source_ip>198.236.20.44</source_ip>
  <count>1</count>
  <policy_evaluated>
    <disposition>none</disposition>
    <dkim>pass</dkim>
    <spf>fail</spf>
  </policy_evaluated>
</row>
<identifiers>
  <header_from>mysteryscience.com</header_from>
</identifiers>
<auth_results>
  <dkim>
    <domain>mysteryscience.com</domain>
    <result>pass</result>
  </dkim>
  <spf>
    <domain>mail.mysteryscience.com</domain>
    <result>fail</result>
  </spf>
</auth_results>
</record>
<record>
<row>
  <source_ip>209.85.212.175</source_ip>
  <count>1</count>
  <policy_evaluated>
    <disposition>none</disposition>
    <dkim>fail</dkim>
    <spf>pass</spf>
  </policy_evaluated>
</row>
<identifiers>
  <header_from>mysteryscience.com</header_from>
</identifiers>
<auth_results>
  <spf>
    <domain>mysteryscience.com</domain>
    <result>pass</result>
  </spf>
</auth_results>
</record>
<record>
<row>
  <source_ip>209.85.215.44</source_ip>
  <count>1</count>
  <policy_evaluated>
    <disposition>none</disposition>
    <dkim>fail</dkim>
    <spf>fail</spf>
  </policy_evaluated>
</row>
<identifiers>
  <header_from>mysteryscience.com</header_from>
</identifiers>
<auth_results>
  <spf>
    <domain>nurturingwisdom.com</domain>
    <result>fail</result>
  </spf>
</auth_results>
</record>
<record>
<row>
  <source_ip>2607:f8b0:4003:c06::236</source_ip>
  <count>2</count>
  <policy_evaluated>
    <disposition>none</disposition>
    <dkim>pass</dkim>
    <spf>fail</spf>
  </policy_evaluated>
</row>
<identifiers>
  <header_from>mysteryscience.com</header_from>
</identifiers>
<auth_results>
  <dkim>
    <domain>mysteryscience.com</domain>
    <result>pass</result>
  </dkim>
  <spf>
    <domain>ssanpete.org</domain>
    <result>none</result>
  </spf>
</auth_results>

Alguém pode me ajudar a determinar se essas falhas de SPF e DKIM são problemáticas?

Responder1

Fiz algumas consultas, como spfquery --mfrom mail.mysteryscience.com -ip 2607:f8b0:4001:c05::232nos resultados que você forneceu. Parece que você não configurou o SPF para mail.mysteryscience.compermitir que o Google entregue e-mails para esse domínio. Isso explica as falhas do SPF nas entregas do Google. A consulta acima é baseada nos domínios listados no registro.

Existem alguns registros que parecem ser Spam, então eles deveriam estar na lista.

Você pode ter problemas semelhantes com o e-mail sem assinaturas DKIM apropriadas. Alguns podem ser Spam ou você pode ter caminhos de entrega que não assinam o e-mail com a assinatura esperada.

Responder2

  1. Analise seu XML DMARC em algum lugar como dmarcian, para que suas informações sejam legíveis por humanos
  2. O gateway de saída do Google vai para onde? Você tem um gateway configurado? Se não, não há nada para mudar.
  3. O DKIM está falhando, você está assinando seus e-mails sem uma chave pública publicada? verifique seu DNS.
  4. Registros SPF para subdomínios, você só precisará disso se o servidor de e-mail aceitar e-mails e enviar NDRs. um registro típico de subdomínio seria:

mail.example.com. IN A 93.184.216.34

mail.example.com. IN TXT "v=spf1 a -all"

informação relacionada