7

最近、ドメインに DMARC レコードを実装しました。

"v=DMARC1; p=検疫; pct=100; rua=mailto:me@mydomain.com"

(認証されていない電子メールを 100% 隔離し、集計レポートを「私」に送信します)

サードパーティ ベンダーを使用して招待状を発行します。ベンダーは、invites@invites.vendordomain.com から電子メールを送信します。この電子メールは、メール リレー「smtp3.mailrelaydomain.it」を介して送信されます。また、メール リレーが単一の IP アドレスを使用することも知っています。

そのアドレスは SPF レコードに含まれています。

"v=spf1 ...[他のメール サーバー SNIP の SNIP 参照]... ip4:[メール リレーの IP アドレス] ~all"

ベンダーのサービスを使用して招待を送信すると、メッセージが検疫されます。

集約 DMARC レポートを表示すると、招待が次のように表示されます。

  • SPF認定サーバーからのものとして認識されます
  • 送信者のドメイン (invites@invites.vendordomain.com") の raw SPF 認証を渡します。
  • メールリレードメイン (smtp3.mailrelaydomain.it) の raw DKIM 認証を渡します
  • mydomain の DKIM と SPF の両方で DMARC 認証に失敗する

招待状のサンプル ヘッダーを次に示します。

サンプルメールヘッダーの開始

Delivered-To: someone@mydomain.com
Received: by 10.64.252.9 with SMTP id zo9csp100581iec;
        Wed, 21 Oct 2015 11:40:13 -0700 (PDT)
X-Received: by 10.55.195.147 with SMTP id r19mr12995508qkl.12.1445452813709;
        Wed, 21 Oct 2015 11:40:13 -0700 (PDT)
Return-Path: <invites@invites.vendordomain.com>
Received: from smtp3.mailrelaydomain.it (smtp3.mailrelaydomain.it. [ip for mail relay])
        by mx.google.com with ESMTP id w15si9297939qha.131.2015.10.21.11.40.13
        for <someone@mydomain.com>;
        Wed, 21 Oct 2015 11:40:13 -0700 (PDT)
Received-SPF: pass (google.com: domain of invites@invites.vendordomain.com designates [mail relay ip] as permitted sender) client-ip=[mail relay ip];
Authentication-Results: mx.google.com;
       spf=pass (google.com: domain of invites@invites.vendordomain.com designates [mail relay ip] as permitted sender) smtp.mailfrom=invites@invites.vendordomain.com;
       dkim=pass header.i=@mailrelaydomain.it;
       dmarc=fail (p=QUARANTINE dis=QUARANTINE) header.from=mydomain.com
Received: from FS-S05.vendorparentdomain.com (unknown [vendor parent ip])
    (using TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits))
    (No client certificate requested)
    by smtp3.mailrelaydomain.it (Postfix) with ESMTPSA id 23387A0CBC
    for <someone@mydomain.com>; Wed, 21 Oct 2015 15:07:35 -0400 (EDT)
DKIM-Signature: [DKIM Content]
Content-Type: multipart/alternative;
 boundary="===============2166944298367943586=="
MIME-Version: 1.0
Subject: Please take our survey
From: Me <me@mydomain.com>
To: Someone Else <someone@mydomain.com>
Cc: 
Date: Wed, 21 Oct 2015 18:39:48 -0000
Message-ID: <20151021183948.27448.90706@FS-S05.vendorparentdomain.com>
List-Unsubscribe: [unsubscribe link],
 <mailto:invites@invites.vendordomain.com>
Reply-To: Me <me@mydomain.com>
X-Sender: invites@invites.vendordomain.com

この問題は、メッセージ エンベロープのドメインと一致しないメッセージの送信元ドメインに関連していると思われます。ただし、ベンダーは設定を変更できない (つまり、エンベロープは常にベンダー ドメインからのものになる) ため、DMARC でこれが機能する可能性はすべて私の側から来る必要があります。

SPF レコードが招待を SPF 認定サーバーからのものとして識別できる (および識別している) ことを知っている場合、ベンダーからの招待に対する DMARC 認証を確実にするために追加できる他の設定またはレコードはありますか?

いくつかのオンライン記事と「DMARC -spf および DKIM レコード クエリ」を読んだ後、私は運が悪いのではないかと疑っていますが、念のため、私の状況に明確に/具体的に質問する必要があります。

ありがとう

4

1 に答える 1

12

その通りです。ベンダーが何かを変更できない限り、あなたは運が悪いのです。失敗しているのは識別子の調整です - https://www.rfc-editor.org/rfc/rfc7489#section-3.1 - 認証されているもの (SPF 経由の invites.vendordomain.com) がユーザーに表示されるドメインに一致しないためです。 (me@mydomain.com) であり、メッセージは正しく DMARC に失敗します。

次の 3 つのオプションがあります。

  • ベンダーでドメインの From: ヘッダーを使用して送信を停止します。自分のアドレスで Reply-To: ヘッダーを引き続き使用できます。

  • ベンダーにメールをドメインに合わせてもらいます。これを行わないと、DMARC に合格できず、ある時点で DMARC に合格したいと思うようになるか、他の解決策が見つかるでしょう。vendorname.mydomain.com からエンベロープを送信するように設定できます。バウンス処理をサポートするために、それらを指すサブドメインの MX を設定できます。これはしばらくBCPでした。

  • ベンダーに DKIM で署名してもらい、調整された DKIM 署名を私たちに提供してください。これは、ベスト コモン プラクティスでもあります。渡すには SPF または DKIM のみが必要であり、DKIM パスは SPF よりも (多くの場合、転送されても存続するため) 価値があるため、私があなただったら個人的に優先するオプションです。

2012 年と 2013 年のように、多くのベンダーがこれらのオプションの両方に反対しましたが、正直なところ、少なくともサポートしないベンダー (私は仕事の 100% を DMARC に費やしています) を長い間見たことがありません。整列された DKIM。

于 2015-10-23T16:45:32.513 に答える