web-dev-qa-db-fra.com

Pourquoi SPF échoue-t-il dans le rapport DMARC de Google?

J'ai récemment reçu un rapport DMARC de Google me alertant de quelques défaillances SPF avec courrier originaires d'adresses IP appartenant à Amazon SES. Un exemple d'enregistrement est le suivant (j'ai remplacé notre domaine avec exemple.com.):

  <record>
    <row>
      <source_ip>54.240.27.187</source_ip>
      <count>1</count>
      <policy_evaluated>
        <disposition>none</disposition>
        <dkim>pass</dkim>
        <spf>fail</spf>
      </policy_evaluated>
    </row>
    <identifiers>
      <header_from>example.com</header_from>
    </identifiers>
    <auth_results>
      <dkim>
        <domain>example.com</domain>
        <result>pass</result>
      </dkim>
      <dkim>
        <domain>amazonses.com</domain>
        <result>pass</result>
      </dkim>
      <spf>
        <domain>mail.example.com</domain>
        <result>pass</result>
      </spf>
    </auth_results>
  </record>

Est le SPF échouant parce que le header_from La valeur est example.com tandis que la valeur SPF domain est mail.example.com?

Nous utilisons Amazon Workmail et Amazon SES pour envoyer un courrier électronique manuel et automatisé. Le From address est habituellement [email protected], et nous avons mis notre MAIL FROM Domaine à mail.example.com. Par conséquent, je suis un peu perplexe quant à la raison pour laquelle Google signalerait le header_from Domaine comme example.com plutôt que mail.example.com. Nous avons défini un enregistrement SPF approprié pour les deux example.com et mail.example.com.

De plus, j'ai essayé d'envoyer des e-mails de test à une adresse Gmail à la fois Amazon Workmail et Amazon SES. Dans les deux cas, SPF est passé, de même que DKIM et DMARC.

amazon-web-servicesspfdkimgoogledmarc
1
Leo Galleguillos

DMARC compare le RFC5322 . Du domaines avec le domaine authentifié par SPF. Dans votre rapport, nous pouvons voir que le domaine rfc5322.from est example.com et le domaine authentifié par SPF est mail.example.com.

La balise aspf est utilisée pour indiquer si le test d'alignement du SPF DMARC devrait être strict (s) ou détendu (r), avec une étant détendue.

Un enregistrement DMARC avec aspf=r Valeur ou no aspf tag Vérifiez le RFC5322.From domaine organisationnel correspond au domaine organisationnel authentifié par SPF. Votre dossier passerait avec cet alignement parce que les domaines organisationnels example.com pour les deux.

Un dossier DMARC avec aspf=s La valeur vérifiera une correspondance exacte du domaine DNS pour le domaine RFC5322.From et le domaine authentifié par SPF.

Le test DMARC a échoué parce que aspf=s est configuré dans votre enregistrement DMARC et le domaine rfc5322.from Domaine de example.com et le domaine authentifié par SPF de mail.example.com ne sont pas les mêmes.

2
Paul