Выравнивание DMARC: принудительное прохождение сообщений как SPF, так и DKIM
Есть ли способ заставить DMARC отказываться / отклонять почту, которая не делает? t pass BOTH DKIM and SPF?
Мы сужаем число отказов, но в нашем сводном (rua) отчете есть некоторые домены, которые проходят только DKIM, и мы бы предпочли, чтобы они не прошли наш DMARC, потому что мы этого не делаем. Я их не узнаю.
Домены, которые мы распознаем, полностью выровнены.
Наша конечная цель состоит в том, что, если оно не будет полностью выровнено (как DKIM, так и SPF), сообщение будет отклонено
Нет, DMARC разработан так, что для прохождения требуется только DKIM + ADKIM или SPF + ASPF.
Нет требования требовать обоих.
Мне трудно понять, как DKIM проходит тест на выравнивание. Если ключ d = не соответствует from, он не пройдет тест ADKIM.
Посмотрите, как идентификаторы должны совпадать здесь: Идентификаторы электронной почты DMARC
Даже если вы не указали adkim в своей записи DMARC, по умолчанию используется значение «Relaxed», которое все равно не совпадает .
Согласно базовым предположениям, лежащим в основе DMARC, никто не должен иметь возможность пройти либо тест DKIM или SPF в качестве вашего домена, если только почта не приходит с сервера. вы контролируете. Пропуска для любого из двух достаточно, чтобы подтвердить это.
Таким образом, нет способа заставить DMARC требовать прохождения обоих, и не должно быть никаких причин для этого.
Если третьи стороны могут пройти DKIM. проверяет, как вы, а вы их не авторизовали, то у вас есть проблема с безопасностью, и это то, что вам нужно исправить.
Во-первых, убедитесь, что вы не сделали ошибку при интерпретации отчетов, которые видите. Подписаны ли они DKIM, но с чужим доменом? Если да, то ничего делать не нужно. Но если электронные письма, не авторизованные вами, подписаны DKIM с помощью вашего домена, это означает, что вы делаете что-то неправильно.
Что нужно предпринять:
- Создайте новый ключ DKIM, начните подписывать с ним, и удалите ссылки на старый ключ из ваших записей DNS (оставив старые записи DNS, можно будет продолжать использовать старый ключ).
- Храните секретную часть вашего ключа DKIM в безопасности. По умолчанию он должен быть скрыт для всех, кроме root на вашем сервере. Держите это так.
Убедитесь, что вы не подписываете почту, приходящую из ненадежных источников. Вам следует добавлять только DKIM-подписи к почте, исходящей от вас и ваших пользователей.
При использовании OpenDKIM это контролируется параметром InternalHosts, и вам также следует убедиться, что вы не повторно запускаете OpenDKIM после прохождения почты через локальный фильтр или прокси-сервер, который будет выглядеть так, как будто почта исходила изнутри.
DMARC работает должным образом; если хотя бы один из SPF или DKIM проходит (и выровнен), сообщение проходит DMARC и доставляется. Скорее всего, сообщения, которые не проходят SPF, но передают DKIM (действительная и выровненная подпись), являются сообщениями, которые были перенаправлены. (Переадресованные сообщения не пройдут SPF, а подпись DKIM может выдержать пересылку.)