ฉันมีการตั้งค่าระเบียน DMARC ต่อไปนี้:

v=DMARC1; พี=ไม่มี; street=mailto: [email protected] ; ruf=mailto: [email protected] ; sp=ไม่มี; สำหรับ=0:1:d:s

ฉันมีการตั้งค่าระเบียน SPF ต่อไปนี้:

v=spf1 mx -ทั้งหมด

ระเบียน MX มี 3 ที่อยู่ IP

หนึ่งในที่อยู่ IP เหล่านั้นในระเบียน MX ใช้เพื่อส่งอีเมลจาก อีเมลส่วนใหญ่เหล่านี้สอดคล้องกับ DMARC เป็นอย่างดี (เดือนที่แล้ว อีเมล 312k อยู่ในแนวเดียวกัน) อย่างไรก็ตาม ที่อยู่ IP เดียวกันยังแสดงรายงานความล้มเหลวบางอย่างด้วย (700 อีเมลล้มเหลว DMARC)

เมื่อฉันดูเหตุผล มันบอกว่า "mail.mydomain.com" -- ไม่ได้ตั้งค่า SPF

ระเบียน DMARC ของฉันถูกตั้งค่าให้อยู่ในโหมดผ่อนคลาย (อีเมลจากโดเมนย่อยผ่านการตรวจสอบ DMARC)

อะไรคือสาเหตุที่ทำให้อีเมลเหล่านั้นล้มเหลว ฉันจะหลีกเลี่ยงสิ่งนี้ได้อย่างไร ฉันควรเพิ่มระเบียน SPF ภายใต้โดเมนย่อยของ mail.mydomain.com หรือไม่

answer

ที่อยู่อีเมลในenvelope.from(aka bounce addressหรือreturn-pathหรือsmtp.mailfrom) ถูกตั้งค่าให้ใช้โดเมนอีเมลของmail.mydomain.com. หากไม่มีการSPFตั้งค่าเร็กคอร์ดสำหรับmail.mydomain.comข้อผิดพลาดที่อธิบายไว้จะถูกส่งคืน

หรือ: ไม่มีการระบุที่อยู่ในenvelope.fromฟิลด์ ซึ่งส่งผลให้มีการHELOค้นหาชื่อโฮสต์ของเซิร์ฟเวอร์ที่ส่ง

พฤติกรรมนี้อาจเป็นผลมาจากการตีกลับที่ส่งกลับจากเซิร์ฟเวอร์ของคุณไปยังผู้ส่งเดิม ในกรณีนี้ บ่อยครั้งที่ที่envelope.fromอยู่เดิมถูกถอดออก และชื่อโฮสต์ของเซิร์ฟเวอร์อีเมลจะถูกตรวจสอบเพื่อSPFบันทึก

สถานการณ์สุดท้ายนี้แก้ไขได้ง่ายโดยการตั้งค่าSPFบันทึกสำหรับชื่อที่เซิร์ฟเวอร์อีเมลของคุณตั้งค่าการสื่อสาร ( HELOชื่อ) mail.mydomain.comในกรณีของคุณอาจจะ

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับการตรวจสอบที่ดำเนินการและเกี่ยวกับการHELOตรวจสอบ โปรดดูRFC ใน SPF หัวข้อ 2.3 และ 2.4

ฉันควรเพิ่มระเบียน SPF ภายใต้โดเมนย่อยของ mail.mydomain.com หรือไม่

ใช่ คุณควรเป็นแนวทางปฏิบัติที่ดีที่สุด และ mx ที่รับอาจไม่ใช่แค่ DMARC เท่านั้น แต่ยังมีตัวกรองตัวกรองอื่นๆ ตาม SPF / DKIM

ตามทฤษฎีแล้ว DMARC อนุญาตให้เปรียบเทียบอีเมลจากโดเมนย่อยกับระเบียน SPF ของโดเมน (คุณอาจต้องการเพิ่ม 'aspf=r;') แต่ข้อกำหนดสำหรับ SPF ระบุว่าคุณควรมีระเบียน SPF สำหรับแต่ละโดเมนย่อย - แม้ว่าเพียงเพื่อพยายามป้องกันไม่ให้ผู้อื่นส่งสแปมจากโดเมนเหล่านั้น

ในทำนองเดียวกัน การจัดตำแหน่ง DKIM ควรตรงกับโดเมนย่อย (อีกครั้ง นโยบาย DMARC สามารถให้ค่าเผื่อได้ (คุณอาจต้องการเพิ่ม 'adkim=r;')) ซึ่งจะเป็นแนวทางปฏิบัติที่ดีที่สุดอีกครั้งเพื่ออนุญาตให้มีการจัดตำแหน่งดังกล่าว

นอกจากนี้: คุณน่าจะลบ "mx" ออกจาก SPF ได้ดีกว่าและแทนที่ด้วยที่อยู่ IP ของ mx ของคุณ เนื่องจากวิธีนี้จะช่วยลดโอกาสที่ความล้มเหลวในการค้นหา DNS ที่ส่งผลต่อการส่งอีเมล

ยิ่งไปกว่านั้น ฉันอยากรู้ว่าคุณจะต่อยังไง!