DMARC/SPF 配置错误

Posted 2023-02-25

【中文标题】DMARC/SPF 配置错误

【英文标题】：DMARC/SPF configuration error

【发布时间】：2018-11-01 08:10:06

【问题描述】：

我有一个在 domains.google.com 注册的域，我使用 G Suite 帐户并从 SES 和 mailchimp 发送电子邮件。

我的 DNS 记录在我看来是正确的 (Mailchimp instructions)：

@TXT"v=spf1 包括：_spf.google.com 包括：amazonses.com 包括：servers.mcsv.net ~all"

_dmarc TXT "v=DMARC1; p=none; pct=100; rua=mailto:re+aml1ryadtn7@dmarc.postmarkapp.com; sp=none; aspf=r;"

我使用邮戳的漂亮服务来获取每周的 DMARC 摘要，他们报告 mailchimp 电子邮件的此错误：

mcsv.net 被授权代表 mydomain.com 发送，但看起来 SPF 仍未通过 DMARC 的对齐测试。 DMARC 查看邮件的返回路径，以确保那里的域与您的发件人地址中的域匹配。如果返回路径路径与您的发件人地址不匹配，则这些邮件将无法通过 DMARC 的 SPF 对齐测试。请检查此来源，因为您可能需要设置自定义返回路径。

以下是来自 mailchimp 电子邮件的相关标题：

Return-Path: <bounce-mc.us17_88978185.265251-recipient=patentbots.com@mail125.suw11.mcdlv.net>
From: me@mydomain.com

我的设置错误（DNS 或 Mailchimp）是否导致 SPF DMARC 对齐失败？或者这是 Mailchimp 不支持的东西？

【参考方案1】：

Mailchimp 不支持 SPF，因为它在退回地址中使用自己的域。不过，他们的域身份验证验证工具需要包含 Mailchimp。 Mailchimp 始终无法通过 DMARC 的 SPF 对齐测试，因为 Return-Path 路径与 From 地址不匹配。 MailChimp 不支持自定义返回路径（尽管 Mailchimp 拥有的 Mandrill 支持）。这使得 Mailchimp 无法在 DMARC 规则下 100% 符合 SPF。

【讨论】：

谢谢，非常有帮助，但是为什么 Mailchimp 会指示用户添加 SPF 记录呢？

Jeff O'Neill，澄清：Mailchimp 确实支持 SPF。 Mailchimp 的 SPF 实现不以通过 DMARC 的方式支持 SPF。

这意味着，如果您将 DNS 记录设置为 hardfail -all，您的邮件将无法传递。愉快。

【参考方案2】：

我不是 100% 确定，但我猜如果返回路径和来自标头的域必须匹配，您需要在您自己的域中有一个指向 MC 的 CNAME DNS 记录，这样域可以匹配，例如：

mc CNAME mail125.suw11.mcdlv.net

那么你的返回路径可能会变成<bounce-mc.us17_88978185.265251-recipient=patentbots.com@mc.mydomain.com>。

我不知道这样的子域匹配是否足够，即 DMARC 是否认为 mc.mydomain.com 和 mydomain.com 充分对齐。

如果您有很多域，我可以看到这个管理有点棘手。

【讨论】：

这是正确的。如果您查看 SendGrid 是如何实现这一点的，他们会要求您添加 CNAME 记录来为您的域添加白标签，并将其指向 sendgrid.net。我选择了email（即email.mydomain.com）。然后在电子邮件中返回路径显示为Return-Path: bounces+xxxxxxx-xxxx-tyson.surname=gmail.com@email.mydomain.com，即使发件人不包括子域。即：From: "My Domain" <no-reply@mydomain.com> 我也使用 PostMark 并与通过 SendGrid 发送的电子邮件 100% 对齐。

谢谢。从那以后，我对此有了更多的了解。您只能在 DMARC“宽松”模式下使用这样的子域；“严格”模式确实需要完全匹配。