Недавно я получил отчет DMARC от Google, извещающий меня о нескольких сбоях SPF с почтой, исходящей с IP-адресов, принадлежащих Amazon SES. Пример записи выглядит следующим образом: (Я заменил наш домен на example.com.):
<record>
<row>
<source_ip>54.240.27.187</source_ip>
<count>1</count>
<policy_evaluated>
<disposition>none</disposition>
<dkim>pass</dkim>
<spf>fail</spf>
</policy_evaluated>
</row>
<identifiers>
<header_from>example.com</header_from>
</identifiers>
<auth_results>
<dkim>
<domain>example.com</domain>
<result>pass</result>
</dkim>
<dkim>
<domain>amazonses.com</domain>
<result>pass</result>
</dkim>
<spf>
<domain>mail.example.com</domain>
<result>pass</result>
</spf>
</auth_results>
</record>
Не работает ли SPF из-за того, что значение header_from
равно example.com
, а значение SPF domain
равно mail.example.com
?
Мы используем Amazon WorkMail и Amazon SES для ручной и автоматической отправки электронной почты. From address
обычно webmaster@example.com
, и мы установили для нашего домена MAIL FROM
значение mail.example.com
. Поэтому я немного озадачен тем, почему Google сообщает о домене header_from
как example.com
, а не mail.example.com
. Мы установили соответствующую запись SPF для example.com
и mail.example.com
.
Кроме того, я попытался отправить тестовые электронные письма на адрес Gmail, используя как Amazon WorkMail, так и Amazon SES. В обоих случаях SPF прошел, как и DKIM и DMARC.
DMARC сравнивает RFC5322 . -авторизованный домен. В вашем отчете мы видим, что домен RFC5322.From — example.com
, а домен, прошедший проверку подлинности SPF-, — mail.example.com
.
Тег aspf
используется для указания того, должен ли тест выравнивания DMARC SPF быть строгим(s
)или ослабленным(r
), причем по умолчанию используется ослабленный.
Набор записей DMARC со значением aspf=r
или без тега aspf
будет проверять RFC5322. From домен организации соответствует домену организации, прошедшему проверку подлинности SPF-. Ваша запись будет проходить с этим выравниванием, потому что организационные домены example.com
для обоих.
Запись DMARC со значением aspf=s
проверит точное соответствие домена DNS для домена RFC5322.From и домена, прошедшего проверку подлинности SPF-.
Тест DMARC завершился неудачно, поскольку aspf=s
настроен в вашей записи DMARC, а домен RFC5322.From example.com
и домен mail.example.com
с проверкой подлинности SPF-не совпадают.