我最近注意到通过我的邮件服务器发送的邮件的 Gmail DMARC/DKIM/SPF 结果之间存在差异,如邮件标头所示 –
ARC-Authentication-Results: i=1; mx.google.com;
dkim=pass [email protected] header.s=s42 header.b=TWJ2lYx3;
spf=pass (google.com: domain of [email protected] designates 000.000.000.000 as permitted sender) [email protected];
dmarc=pass (p=QUARANTINE sp=QUARANTINE dis=NONE) header.from=domain.com
Return-Path: <[email protected]>
Received: from mail.domain.com (mail.domain.com. [000.000.000.000])
by mx.google.com with ESMTPS id v16-20020a5d6110000000b00314105346a6si1394751wrt.420.2023.07.06.12.09.26
for <[email protected]>
(version=TLS1_3 cipher=TLS_AES_256_GCM_SHA384 bits=256/256);
Thu, 06 Jul 2023 12:09:26 -0700 (PDT)
Received-SPF: pass (google.com: domain of [email protected] designates 000.000.000.000 as permitted sender) client-ip=000.000.000.000;
Authentication-Results: mx.google.com;
dkim=pass [email protected] header.s=s42 header.b=TWJ2lYx3;
spf=pass (google.com: domain of [email protected] designates 000.000.000.000 as permitted sender) [email protected];
dmarc=pass (p=QUARANTINE sp=QUARANTINE dis=NONE) header.from=domain.com
– 以及 Google 的 DMARC 报告,其中包含相同邮件的
fail<feedback>
<report_metadata>
<org_name>google.com</org_name>
<email>[email protected]</email>
<extra_contact_info>https://support.google.com/a/answer/2466580</extra_contact_info>
<report_id>1502902575606731331</report_id>
<date_range>
<begin>1688515200</begin>
<end>1688601599</end>
</date_range>
</report_metadata>
<policy_published>
<domain>domain.com</domain>
<adkim>s</adkim>
<aspf>r</aspf>
<p>quarantine</p>
<sp>quarantine</sp>
<pct>75</pct>
<np>quarantine</np>
</policy_published>
<record>
<row>
<source_ip>000.000.000.000</source_ip>
<count>1</count>
<policy_evaluated>
<disposition>quarantine</disposition>
<dkim>fail</dkim>
<spf>fail</spf>
</policy_evaluated>
</row>
<identifiers>
<header_from>mail.domain.com</header_from>
</identifiers>
<auth_results>
<spf>
<domain>mail.domain.com</domain>
<result>none</result>
</spf>
</auth_results>
</record>
</feedback>
几个月前,Google 的报告列出了
pass我发现了一个类似的问题,但指向未对齐域的响应在这里并不适用,因为域已根据我宽松的 DMARC 策略正确对齐(s. 上面的片段,其中
domain.commail.doman.comGmail DMARC/DKIM/SPF 结果 DMARC(基于域的消息身份验证、报告和一致性):
用途:Gmail 检查发送域设置的 DMARC 策略,以确定如何处理未通过身份验证的电子邮件 (SPF/DKIM)。 结果:根据 DMARC 策略(无、隔离、拒绝),Gmail 决定是递送、标记为垃圾邮件还是拒绝电子邮件。 DMARC 结果通知邮件是否通过或未通过策略检查。 DKIM(域名密钥识别邮件):
用途:DKIM 使用加密签名来验证电子邮件内容未被更改并且来自授权域。 结果:Gmail 验证电子邮件标头中的 DKIM 签名。有效的 DKIM 签名表明电子邮件未被篡改并且来自合法来源。如果 DKIM 签名无效,可能会引起怀疑。 SPF(发件人策略框架):
用途:SPF 检查发送服务器的 IP 地址是否有权代表域发送电子邮件。 结果:Gmail 检查发送域的 DNS 中发布的 SPF 记录。如果列出了发送服务器的 IP,则 SPF 检查通过;否则,就会失败。 SPF 通过表明电子邮件可能来自合法发件人。 DMARC 报告 汇总报告:
用途:这些报告提供代表域发送的电子邮件的电子邮件身份验证结果摘要,包括 SPF 和 DKIM 检查。 内容:汇总报告包括有关收到的消息数量、其身份验证状态以及所采取的操作(例如,已发送、已拒绝)的信息。它们提供了有关电子邮件通过/失败身份验证的频率以及 DMARC 策略有效性的见解。 法医报告:
用途:这些报告提供有关未通过 DMARC 检查的各个邮件的详细信息。 内容:取证报告包括详细的邮件信息,例如发送 IP、主题行以及邮件失败的原因。它们对于诊断特定问题和识别恶意活动非常有用。 比较 Gmail DMARC/DKIM/SPF 结果:重点关注单个电子邮件及其对身份验证协议的遵守情况。 Gmail 使用这些结果来决定如何处理每封电子邮件(例如,递送、垃圾邮件、拒绝)。结果特定于收到的电子邮件,用于立即决策。
DMARC 报告:提供电子邮件身份验证性能随时间变化的更广泛概述。它们帮助域名所有者了解总体趋势、识别潜在的安全问题并完善其电子邮件身份验证策略。这些报告定期生成,对于战略规划和分析更有用。
总而言之,Gmail 的 [DMARC][2]/[DKIM][3]/[SPF][4] 结果为单封电子邮件提供实时验证,而 DMARC 报告则为长期电子邮件安全管理提供汇总数据和见解.