DMARC сообщает, что небольшая часть наших писем исходит от Google, Microsoft и некоторых других провайдеров.
DMARC также сообщает, что значительная часть этих писем не проходит проверку SPF и DKIM, а значит, не проходит проверку DMARC.
Мы не пользуемся услугами этих провайдеров для отправки электронных писем, поэтому предполагаем, что эта статистика отражает пересланные письма и поддельные письма.
Очевидно, что SPF не сработает для пересылаемых и поддельных писем, но возможно ли, что некоторые законные заголовки DKIM искажаются при передаче?
Вопрос,
Имеет ли смысл включать хосты SPF Google и Microsoft в нашу запись SPF, чтобы помочь пройти DMARC для этих пересылаемых писем, даже если мы не используем их для отправки писем?
Я не хочу этого делать, так как это противоречит духу SPF и может помочь мошенникам.
Или мы можем быть уверены, что эти неудачные DMARC отражают подделки, и в большинстве случаев пересылки заголовки DKIM передаются нетронутыми?
решение1
Абсолютно нет. Похоже, SPF/DKIM/DMARC работают именно так, как и задумано для вас.
Ваша запись SPF должна включать только те хосты, которые вы фактически используете для отправки сообщений с вашего домена.
Отчеты, показывающие, что исходные электронные письма принадлежат Microsoft и Google, почти наверняка связаны со спам-сообщениями, которые используют эти службы, поэтому последнее, чего вы хотите, чтобы третьи лица получали спам-сообщения «с» вашего домена, — это выполнить поиск по вашей записи SPF, а затем принять эти сообщения, поскольку ваши записи DNS говорят им, что они должны быть легитимными.
Единственный другой сценарий, который я могу придумать, это если кто-то в вашей организации (или работающий на нее) использует службу Microsoft / Google без вашего ведома и отправляет электронную почту с помощью одной из этих служб. В этом случае на данный момент они не будут доставлены, пока не сообщат IT, что они делают, чтобы вы могли добавить соответствующую запись. Но я бы никогда не стал добавлять записи SPF на основе отчетов DMARC, только когда я ЗНАЮ, что оттуда действительно приходят легитимные электронные письма.
Также обратите внимание, что пересылаемые письма не будут вызывать этот сценарий, поскольку пересылка так не работает, если только пользователь не был настолько глуп, чтобы пересылать свои письма с вашего домена, скажем, на свой аккаунт Google, И затем настроить аккаунт Google на пересылку писем в другие места. Но пересылка таким образом не рекомендуется, и, IMHO, если эти письма не доходят до предполагаемого получателя, это проблема человека, плохо настроившего пересылку, а не вас и всей вашей организации.
решение2
Сделайте свою запись SPF максимально простой — не перегружайте ее слишком большим количеством авторизованных источников отправки. Загрузка вашей записи SPF с несколькими хостами может привести к ошибкам, из-за которых получатели электронной почты будут игнорировать ваши сообщения. Это может повлиять на репутацию отправителя и показатели доставки.