ขอแนะนำให้ผู้ใช้อีเมล 0365 ใช้ include:spf.protection.outlook.com -all ในบันทึก SPF

ฉันได้ทำตามคำแนะนำนี้ บันทึก spf ของบริษัทของฉันระบุว่า:
v=spf1 include:spf.protection.outlook.com -all

บันทึก spf.protection.outlook.com ลงท้ายด้วย include:spfa.protection.outlook.com -all ซึ่งลงท้ายด้วย include:spfb.protection.outlook.com

แต่ละรายการมีชุด CIDR สำหรับ IP ที่ใช้โดย outlook.com เมื่อส่งอีเมล

อย่างไรก็ตาม ฉันได้รับรายงาน DMARC จาก google.com ที่ระบุว่า SPF FAIL สำหรับ IP ที่ครอบคลุมโดยหนึ่งในการรวมในระเบียน SPF ฉันคิดว่าสิ่งนี้ไม่ถูกต้อง แต่ก็เกิดขึ้นบ่อยครั้ง

นี่คือตัวอย่าง:

    source_ip>104.47.117.233</source_ip>

<count>1</count>


-<policy_evaluated>

<disposition>none</disposition>

<dkim>pass</dkim>

<spf>fail</spf>

IP ที่ถูกปฏิเสธเป็นส่วนหนึ่งของ ip4:104.47.0.0/17 ซึ่งเป็นส่วนหนึ่งของบันทึก spfb.protection.outlook:

spfb.protection.outlook.com. 394 ใน TXT "v=spf1 ip6:2a01:111:f400::/48 ip4:23.103.128.0/19 ip4:23.103.198.0/23 ip4:65.55.88.0/24 ip4:104.47.0.0/17 ip4:23.103 200.0/21 ip4:23.103.208.0/21 ip4:23.103.191.0/24 ip4:216.32.180.0/23 ip4:94.245.120.64/26 - ทั้งหมด"

เหตุใดเซิร์ฟเวอร์อีเมลของ Google จึงถือว่าสิ่งนี้เป็น SPF ที่ล้มเหลว

นี่ไม่ใช่ตัวอย่างที่แยกออกมา - ฉันได้รับการแจ้งเตือนความล้มเหลวของ SPF บ่อยครั้งเกี่ยวกับ IP ที่รวมอยู่ในระเบียน SPF

answer

ฉันคิดออกแล้ว ไม่น่าแปลกใจเลยที่ฉันตีความรายงานผิด ไม่ใช่ Google ที่นำ DMARC ไปใช้งานผิด :)

ผลลัพธ์ SPF ในส่วนการประเมินนโยบายที่ฉันสับสน (ข้อความที่โพสต์ใน OP) คือ DMARC ที่ประเมินผลลัพธ์ SPF หลังจากพิจารณาการจัดตำแหน่ง

คำพูดนี้ที่นี่อธิบายปัญหา:

Please note that the SPF and DKIM results in the auth_results are raw results, regardless of Identifier Alignment; he results of the DMARC evaluation with Identifier Alignment are in the policy_evaluated section.

ฉันตรวจสอบส่วนที่เหลือของระเบียนแล้วและพบว่าผลลัพธ์ดิบสำหรับระเบียนเดียวกันนั้นถูกต้องผ่าน SPF

ดังนั้นสิ่งที่รายงาน DMARC บอกฉันก็คือในขณะที่ผลลัพธ์ SPF นั้นมาจาก outlook.com (และด้วยเหตุนี้จึงเป็น 'ผ่าน' แบบดิบ) ส่วนหัวของเส้นทางส่งคืนไม่ตรงกับโดเมนที่ส่งของฉัน ซึ่งทำให้การประเมิน DMARC SPF ล้มเหลว . อ้างอิงอีกที่นี่

โดยพื้นฐานแล้ว อย่าพยายามอ่านรายงาน XML โดยตรง เพราะยากสำหรับมนุษย์! ฉันพบตัวแยกวิเคราะห์ DMARC xml นี้ซึ่งทำงานได้อย่างยอดเยี่ยมในการช่วยให้คุณเห็นอย่างชัดเจนว่ารายงาน DMARC พยายามจะบอกคุณอย่างไร