DMARC 报告混乱

Question

无法解释 dmarc 报告（来自 Google）。我们的 dmarc 政策目前设置为隔离。

  <record>
       <row>
           <source_ip>NOT.OUR.IP.ADDRESS</source_ip>
           <count>1</count>
           <policy_evaluated>
               <disposition>none</disposition>
               <dkim>pass</dkim>
               <spf>fail</spf>
           </policy_evaluated>
       </row>
       <identifiers>
           <header_from>OUR.DOMAIN</header_from>
       </identifiers>
       <auth_results>
           <dkim>
               <domain>OTHER.DOMAIN</domain>
               <result>pass</result>
               <selector>default</selector>
           </dkim>
           <dkim>
               <domain>OUR.DOMAIN</domain>
               <result>pass</result>
               <selector>OUR.SELECTOR</selector>
           </dkim>
           <spf>
               <domain>OTHER.DOMAIN</domain>
               <result>pass</result>
           </spf>
       </auth_results>
  </record>

OTHER.DOMAIN 有一条 spf 记录。

我不确定为什么 auth_results 都显示通过但 spf 最终失败。这是因为对我们的域进行了 dkim 检查，但没有进行 spf 检查？

有人知道这里发生了什么吗？我们的域是否被 OTHER.DOMAIN 欺骗？ IP 地址与 OTHER.DOMAIN 匹配。

谢谢

j

Answer 1

record//row//auth_results 包括 SPF 和检查的结果。 pass 是必要的，但不足以让您的 DMARC 政策通过。

接下来要检查的是域是否对齐（有关详细信息，请参阅RFC 7489 Section 3.1）。由于 SPF 检查是指 OTHER.DOMAIN，record//row//policy_evaluated//spf，因此您会在此处获得 fail。这与存在 OUR.DOMAIN 的结果的 DKIM 不同。在 DMARC 术语中，这个标识符是对齐的，所以record//row//policy_evaluated//dkim 是pass。

注意它是sufficient for either one to pass。这意味着，没有理由拒绝/隔离来自该源 IP 的 1 条消息。