Каждый день я получаю отчет DMARC от Google. Они включают записи о наших собственных исходящих письмах, различных сторонних партнерах, которым мы разрешили отправлять письма от нашего имени, и различных спамерах, пытающихся подделать наш домен. Но вот что странно: они также включают некоторые собственные серверы Google:
<record>
<row>
<source_ip>209.85.215.197</source_ip>
<count>1</count>
<policy_evaluated>
<disposition>none</disposition>
<dkim>fail</dkim>
<spf>fail</spf>
<reason>
<type>local_policy</type>
<comment>arc=pass</comment>
</reason>
</policy_evaluated>
</row>
<identifiers>
<header_from>mydomain.com</header_from>
</identifiers>
<auth_results>
<spf>
<domain>mydomain.com</domain>
<result>softfail</result>
</spf>
</auth_results>
</record>
whoisпоказывает, что 209.85.215.197 является частью Google:
NetRange: 209.85.128.0 - 209.85.255.255
CIDR: 209.85.128.0/17
NetName: GOOGLE
NetHandle: NET-209-85-128-0-1
Parent: NET209 (NET-209-0-0-0-0)
NetType: Direct Allocation
OriginAS:
Organization: Google LLC (GOGL)
RegDate: 2006-01-13
Updated: 2012-02-24
Ref: https://rdap.arin.net/registry/ip/209.85.128.0
Я пытаюсь понять, что здесь происходит, и мне приходит в голову лишь несколько мыслей:
- Некоторые клиенты Google являются спамерами, отправляющими электронные письма на адреса Gmail, пытаясь использовать наш домен.
- Google не вносит свои серверы в белый список
- Я тупой и не понимаю чего-то в DMARC
Я получаю не менее 10 таких писем в день со случайных IP-адресов в этом сетевом блоке,всегдасопровождается записью для нашего собственного IP-адреса, показывающей проходящие письма. Это заставляет меня поверить, что это #2: действительные письма, циркулирующие в инфраструктуре Google, производящие обратную связь DMARC, когда этого не должно быть.
Если оноявляется#2, кто-нибудь знает, к кому обратиться, чтобы это прекратилось? Раздражает необходимость вносить их в белый список или игнорировать их сетевой блок.
решение1
- Да, некоторые клиенты Google — спамеры.
- И да, Google прекрасно это знает и делаетнетслепо доверять почте, передаваемой их собственными системами.
- Нет ничего необычного в том, что эти IP-адреса появляются в ваших отчетах DMARC. Вы запросили получать отчеты о том, как обрабатывается почта ваших доменов, поэтомуконечноGoogle также сообщает, как обрабатывалась почта вашего домена при ретрансляции этим конкретным сервером.
- Это информация, которую вы получаетев дополнение к тому, что потенциально уже сообщенопо первому
Receiver(Да, в DMARC даже почта, которая будет переслана, может быть сообщена первым получателем). Эта дополнительная информация не уменьшает информацию об источнике потенциального спама, который вы можете или не можете получить.
Однако я считаю, что этот отчет дает вам более интересную подсказку:Проверьте настройки DKIM.
В моих отчетах есть похожие IP-адреса Google, и каждое сообщение, которое, как сообщается, проходит через них, также содержит как минимум одну согласованную и подтверждающую подпись.
Google принял эту почту на основе подписи ARC - на основе результатов аутентификации, записанных сервером ретрансляции. Если вы подписывали адекватные заголовки с выровненным ключом, ваше сообщение могло быть переслано с неповрежденной подписью DKIM. Google сообщил бы вам о прохождении подписи DKIM, вместо того чтобы прибегать к решению на основе информации, добавленной сервером пересылки.
Почти для всех почтовых серверов ваша настройка DKIMдолженразрешить людям, использующим Google в качестве своего почтового провайдера, пересылать вашу почту на другой свой почтовый ящик, не нарушая при этом подпись.
О вашем комментарии о возможном раскрытии - отправителю - того, какие системы используются для ретрансляции почты с публичного, доступного через Интернет почтового сервера: это известно и считается приемлемым для любого, кто хочет отправлять почту через Интернет. Ожидается, что операторы серверов будут учитывать последствия пересылки почты, прежде чем позволять своим пользователям делать это.