Вопрос: Назначение подписчика DKIM, отличного от домена «От»


Несколько месяцев назад я реализовал SPF / DKIM / DMARC для своей компании из трех человек. После пробного периода я переключил наш DMARC на «p = reject», чтобы электронные письма были отклонены, если они не работают с SPF / DKIM. Как правило, он работает: наши электронные письма проходят, и на основе данных из отчетов DMARC, письма спамеров, пытающихся подделать из нашего домена, отклоняются. Сервер Ubuntu / Postfix.

Единственное, что не работает, это то, что для календарей мы используем календари Google с учетными записями Google с нашими рабочими электронными письмами (с доменом нашей компании, а не с адресами gmail). Когда один из нас создает приглашение календаря Google (либо на веб-сайте Google, либо через Thunderbird / Lightning с провайдером для Календаря Google) с получателем-получателем с адресом электронной почты, размещенным в Google Apps, Google отклоняет наш пригласительный адрес электронной почты. Сообщение об отказе от Google от имени домена, размещенного в Google Apps, говорит, что отклонение основано на политике DMARC моего домена:

Google попытался доставить ваше сообщение, но он был отклонен   сервера для домена получателя [Удаленный домен Google Apps удален]   aspmx.l.google.com. Ошибка, возвращаемая другим сервером:   Неавторизованная электронная почта из [Домены моей компании] не является   принятый в связи с политикой DMARC домена. Свяжитесь с администратором   Домен [Домен моей компании удален], если это была законная почта.

Прямо ниже это (предположительно) действительная подпись DKIM для google.com. Другими словами, Google отклонил свой собственный DKIM-подписанный email как спам, потому что это не то, что говорит моя политика DMARC. Но я не могу понять, как заставить мою политику DMARC сказать иначе. Для SPF я могу назначить Google в качестве действительного отправителя. Но я не могу найти способ сделать это для DKIM: что-то, что я могу добавить в свою запись DKIM, в которой говорится: «Если у нее есть действительная подпись DKIM Google, это не спам». Существует ли такая вещь? Способ авторизации другого подписчика DKIM, кроме домена «От»?


6
2017-09-18 01:16


Источник


вы можете разместить свой ключ dmarc, похоже, что вы используете строгую настройку spf / dkim, тогда как это типично для расслабленного выравнивания, где EITHER требуется не ОБА. - Jacob Evans


Ответы:


Обратите внимание, что вы можете иметь несколько селекторов DKIM, опубликованных в DNS. Тот, который вы уже используете для локального сервера, а другой для почты, созданный из Google Apps (например, ubuntu._domainkey.yourdomain.com а также google._domainkey.yourdomain.com). Включить DKIM подписка в настройках Google Apps и приглашения календаря будут подписаны подписями google.com и yourdomain.com (последним будет соответствовать google._domainkey.yourdomain.com селектор). Это должно устранить проблему с DMARC, если в ваше определение SPF уже добавлено пространство IP-адресов Google. Надеюсь это поможет.


1
2017-09-19 21:18



Я не отправляю из Google Apps. Письма, которые являются проблемой, происходят из обычного календаря Google из учетной записи на основе электронной почты моего домена. Но Google Apps затем отвергает их, поскольку они были подписаны Google, а не моим доменом. Google просто подписывает приглашения с DKIM для «google» (есть строка в значке DKIM в заголовке электронной почты, в котором говорится «d = google.com»). Нужно ли мне как-то включать что селектор / ключ в моей записи DNS? Если да, то где я это сделаю? Копировать из DNS-записи google.com? - joseph_morris
Даже если вы не отправляете нормальный почты из приложений от имени вашего домена, Календарь. Вот почему вам нужно настроить этот дополнительный Google селектор и подпись для вашего домена (d = yourdomain.com). Вы не можете использовать открытый ключ для google.com и помещать его в свои записи DNS, потому что у вас нет частной части. - Ilya Zakreuski


в отличие от SPF, который mail from и DKIM, который является заголовком / содержанием сообщения, dmarc основан на from заголовок. Таким образом, ваш SPF (который я бы рекомендовал вам добавить Google, если вы должны использовать Google Calendar).

Начните с добавления spf google и убедитесь, что dmark настроен на расслабление, они используют информацию из ваших судебных отчетов dmarc, чтобы сделать более определенные корректировки.

Я отправлю по электронной почте группу dmarc и посмотрю, есть ли у них какие-либо другие рекомендации, если вы зарегистрировали даже одну учетную запись электронной почты в приложениях Google, вы могли бы перенаправить всю электронную почту с собственного сервера (например, на ваш почтовый сервер).

https://support.google.com/a/answer/178333?hl=en


0
2017-11-23 14:31