Ошибка конфигурации DMARC / SPF

У меня есть домен, зарегистрированный на domains.google.com, который я использую с учетной записью G Suite, а также для отправки электронной почты из SES и mailchimp.

Мои записи DNS кажутся мне правильными (Инструкции Mailchimp):

@ TXT v = spf1 include: _spf.google.com include: amazonses.com include: servers.mcsv.net ~ все

_dmarc TXT v = DMARC1; p = нет; pct = 100; rua = mailto: [email protected]; sp = нет; aspf = r;

Я использую отличную службу postmark, чтобы получать еженедельный дайджест DMARC, и они сообщают об этой ошибке для писем mailchimp:

mcsv.net имеет право отправлять сообщения от имени mydomain.com, однако похоже, что SPF все еще не проходит проверку согласования DMARC. DMARC просматривает обратный путь сообщения, чтобы убедиться, что указанный там домен совпадает с доменом в вашем адресе «От». Если обратный путь не совпадает с вашим адресом «От», эти сообщения не пройдут проверку согласования SPF DMARC. Обратитесь к этому источнику, потому что вам может потребоваться настроить собственный Return-Path.

Вот соответствующие заголовки из электронного письма mailchimp:

Return-Path: <bounce-mc.us17_88978185.265251-recipient=patentbots.com@mail125.suw11.mcdlv.net>
From: [email protected]

Есть ли у меня ошибка в настройке (DNS или Mailchimp), которая приводит к сбою выравнивания SPF DMARC? Или это то, что Mailchimp не поддерживает?


dns google-workspace spf dmarc postmark
person gaefan    schedule 22.05.2018    source источник

Ответы (2)


arrow_upward
14
arrow_downward

Mailchimp не поддерживает SPF, поскольку он использует свой собственный домен в адресе возврата. Однако их инструмент проверки подлинности домена требует включения Mailchimp. Mailchimp всегда не проходит проверку согласования SPF DMARC, потому что путь возврата не совпадает с адресом «От». MailChimp не поддерживает настраиваемый Return-Path (хотя Mandrill, принадлежащий Mailchimp, поддерживает). Это делает невозможным 100% совместимость с SPF в соответствии с правилами DMARC с Mailchimp.

person Doug Baumwall    schedule 26.09.2018
comment
Спасибо, очень полезно, но тогда почему Mailchimp инструктирует пользователей добавлять записи SPF? - person gaefan; 26.09.2018
comment
Джефф О'Нил, пояснение: Mailchimp ДЕЙСТВИТЕЛЬНО поддерживает SPF. Реализация SPF в Mailchimp НЕ ПОДДЕРЖИВАЕТ SPF способом, который проходит через DMARC. - person Doug Baumwall; 27.09.2018
comment
Это означает, что если вы установите для своей записи DNS параметр hardfail -all, ваши сообщения не будут доставлены. Приятный. - person mlissner; 13.04.2020

arrow_upward
1
arrow_downward

Я не уверен на 100%, но предполагаю, что если домены для return-path и from header должны совпадать, вам потребуется DNS-запись CNAME в вашем собственном домене, указывающая на MC, чтобы домены могли совпадение, что-то вроде:

mc CNAME mail125.suw11.mcdlv.net

Тогда ваш обратный путь может стать <bounce-mc.us17_88978185.265251-recipient=patentbots.com@mc.mydomain.com>.

Я не знаю, достаточно ли подобного совпадения поддоменов, т.е. считает ли DMARC достаточно выровненными mc.mydomain.com и mydomain.com.

Я вижу, что управление этим будет немного сложным, если у вас много доменов.

person Synchro    schedule 22.05.2018
comment
Это правильно. Если вы посмотрите, как этого добиться SendGrid, они попросят вас добавить запись CNAME, чтобы добавить свой домен в белый цвет, и указать ее на sendgrid.net. Я выбрал email (т.е. email.mydomain.com). Затем в электронных письмах обратный путь отображается как Return-Path: [email protected], даже если «От» не включает субдомен. т.е.: From: "My Domain" <[email protected]> Я также использую PostMark и получаю 100% согласование с электронными письмами, отправленными через SendGrid. - person Tyson; 11.06.2018
comment
Спасибо. С тех пор я узнал об этом больше. Такие поддомены можно использовать только в «расслабленном» режиме DMARC; «Строгий» режим требует точного соответствия. - person Synchro; 11.06.2018