DMARC 報告稱,我們的一小部分電子郵件來自 Google、Microsoft 和其他一些提供者。
DMARC 也報告稱,其中很大一部分電子郵件都未通過 SPF 和 DKIM,因此未通過 DMARC。
我們不使用這些提供者發送電子郵件,因此猜測這些統計數據反映了轉發的電子郵件和欺騙。
顯然,SPF 對於轉發和欺騙電子郵件會失敗,但是否有可能某些合法的 DKIM 標頭在傳輸過程中被破壞?
問題,
即使我們不使用它們發送電子郵件,將 Google 和 Microsoft 的 SPF 主機包含在我們的 SPF 記錄中以幫助這些轉發的電子郵件通過 DMARC 是否有意義?
我不願意這樣做,因為這違背了 SPF 的精神,而且會幫助欺騙者。
或者我們可以非常確定那些失敗的 DMARC 反映了欺騙行為,並且在大多數轉送情況下 DKIM 標頭都完好無損地傳遞?
答案1
絕對不。聽起來 SPF/DKIM/DMARC 完全按照您的預期工作。
您的 SPF 記錄應僅包含您實際用於透過您的網域進行傳送的主機。
這些顯示Microsoft 和Google 來源電子郵件的報告幾乎肯定與使用這些服務的垃圾郵件有關,因此,如果第三方「從」您的網域接收垃圾郵件,請尋找您的SPF 記錄,然後接受這些垃圾郵件,這是您最不希望看到的事情訊息,因為您的 DNS 記錄告訴他們它必須是合法的。
我能想到的唯一其他情況是,如果您的組織中(或為您工作)的某人在您不知情的情況下使用 Microsoft/Google 服務,並使用其中一項服務發送電子郵件。在這種情況下,目前它們將無法交付,直到他們通知 IT 他們正在做什麼,以便您可以添加適當的記錄。但我永遠不會根據 DMARC 報告添加 SPF 記錄,只有當我知道合法電子郵件確實來自那裡時。
另請注意,轉發的電子郵件不會導致這種情況,因為這不是轉發的工作原理,除非用戶愚蠢到將他們的電子郵件從您的網域轉發到他們的Google 帳戶,然後將Google 帳戶設定為將電子郵件轉寄到其他地方。但不建議像這樣轉發,恕我直言,如果這些電子郵件沒有到達預期收件人,這對於轉發設置不當的人來說是一個問題,而不是您和您的整個組織。
答案2
讓您的 SPF 記錄盡可能簡單 — 不要用太多授權的發送來源使之擁擠不堪。使用多個主機載入 SPF 記錄可能會導致錯誤,導致電子郵件接收者忽略您的郵件。這可能會影響您的寄件者聲譽和送達率。