【问题标题】:DMARC Failure only for linkedinDMARC 失败仅适用于linkedin
【发布时间】:2019-11-25 23:01:57
【问题描述】:

几周前我刚刚设置了我们的域以使用 SPF 和 DMARC,但没有 DKIM atm。但时不时我会收到来自linkedin 的 DMARC 失败报告:

This is an email abuse report for an email message received from IP 213.160.4.146 on Tue, 16 Jul 2019 12:34:26 +0000.
The message below did not meet the sending domain's dmarc policy.
The message below could have been accepted or rejected depending on policy.
For more information about this format please see http://tools.ietf.org/html/rfc6591 .
Feedback-Type: auth-failure
User-Agent: Lua/1.0
Version: 1.0
Original-Mail-From: 
Original-Rcpt-To: messages-noreply@linkedin.com
Arrival-Date: Tue, 16 Jul 2019 12:34:26 +0000
Message-ID: <5cd…8b2f@SR-EXC.biv.local>
Authentication-Results: dmarc=fail (p=none; dis=none) header.from=biv-ot.org
Source-IP: 213.160.4.146
Delivery-Result: delivered
Auth-Failure: dmarc
Reported-Domain: biv-ot.org

但我无法检测到任何错误 - IP 地址和域与包含在 SPF 条目中的 MX 记录相匹配。此外,引用的 RFC 6591 不包括身份验证失败“dmarc”。我大约每周收到一次这封邮件,没有其他服务器向我发送过 DKIM 故障报告。知道有什么问题吗?


DNS 条目:

biv-ot.org:
MX:    mail.biv-ot.org
A:     148.251.171.224
SPF:   v=spf1 a mx include:ot-live.zms.hosting a:mout.kundenserver.de ~all
DMARC: v=DMARC1; p=none; ruf=mailto:…; fo=s 

mail.biv-ot.org:
A: 213.160.4.146


【问题讨论】:

  • 查看original-mail-from:original-rcpt-to: 字段我怀疑这是关于NDR 消息。 smpt.mailfrom 经常在 NDR 消息中被剥离,并且接收服务器依赖于 HELO 检查 SPF。这是您的服务器响应连接的名称。如果您在 DNS 中发布该名称的 SPF 记录,您可能已经解决了您的问题。该 SPF 记录应仅包含使用该名称的服务器的 IP。
  • 其实它是一个不在办公室的自动回复,但我从来没有少过我会检查使用的 EHLO 名称。
  • 任何关于您的情况的更新都可能对其他人有所帮助。 @Verim,您是否了解了这一点? NDR 和 DSN(如外出)在标题方面的外观非常相似。此外,在您的 DMARC 记录中设置一个 rua 标签可能会帮助您深入了解这个特定问题。

标签: email linkedin spf dmarc


【解决方案1】:

Simple Mail Transfer Protocol (SMTP) RFC, section 4.5.5 中描述的邮件服务器的自动响应(例如 NDR 和外出回复)经常见证这种行为

在这些情况下,smtp.mailfrom 字段为空,并且在大多数 SPF 实现中,检查回退到检查 HELO 身份(推荐),如SPF RFC, section 2.4 中所述。

即使您为 HELO 身份创建 SPF 记录,如果 HELO 身份不共享 Header.From 地址的组织域,您仍然可能会因为未对齐而导致 DMARC(在 SPF 上)失败。

在您的特定情况下,HELO 身份将假定为 postmaster@firewall.biv-ot.org,并且报告的域 (Header.From) 设置为:biv-ot.org。这意味着发布 firewall.biv-ot.org 的 SPF 记录将解决您的问题。

另请注意:您只能在 DMARC 政策中发布ruf= 地址。几乎没有邮箱提供商发送取证/故障报告,因此仅依靠这些报告来判断您的电子邮件身份验证实践是否处于良好状态是不明智的。 DmarcianValimail 的这些博客概述了为什么这些取证/故障报告如此稀缺。

【讨论】:

    猜你喜欢
    • 1970-01-01
    • 2020-03-16
    • 2021-09-22
    • 1970-01-01
    • 2021-06-02
    • 1970-01-01
    • 2017-03-15
    • 2015-02-08
    • 2022-06-10
    相关资源
    最近更新 更多