Электронные письма с DMARC: «FAIL», даже если оно проходит от валидатора https://mxtoolbox.com

Question

Я использую username@example.net ниже для конфиденциальности, но это происходит с реальным доменом и адресом электронной почты.

В массовых электронных письмах, которые мы отправляем, DMARC дает сбой:

В моих записях TXT вот что у меня есть для DMARC:

_dmarc 14400 IN TXT "v=DMARC1; p=none; rua=mailto:username@example.net; sp=none; aspf=r"

Когда я иду, чтобы подтвердить своюDMARC записывает в https://mxtoolbox.com, вот что я получаю:

Почему может произойти сбой DMARC, даже если валидатор говорит, что он проходит,нет синтаксической ошибки и все выглядит правильно?Обратите внимание, как проходят SPF и DKIM.Проблема только с DMARC по какой-то причине, которую я пытаюсь понять.

ОБНОВЛЕНИЕ 1: я нашел этот абзац в https://support.google.com/a/answer/2466563?hl=en:

Режим выравнивания относится к точности, с которойзаписи отправителя сравниваются с подписями SPF и DKIM, причем два возможных значения являются смягченными или строгими.представлены буквами "r" и "s" соответственно.Короче говоря, relaxed допускает частичное совпадение, например, субдомены данного домена, в то время как строгое требует точное совпадение.

В моем _dmarc 14400 IN TXT "v=DMARC1; p=none; rua=mailto:username@example.net; sp=none; aspf=r" обратите внимание, как я пытаюсь использовать расслабленный режим.

Answer 1

#

Просто добавьте текстовую запись в настройках DNS с помощью _dmarc

"v = DMARC1 \; p = нет \; pct = 100 \; rua = mailto: serveradmin @ mydomain.com \; ruf = mailto: serveradmin@mydomain.com "

Примечание: удалить другие записи _dmarc

#

Для проверки у вас есть правильная структура, которую вы можете проверить с помощью

$ dig + short txt _dmarc.mydomain.com должен вернуть код: "v = DMARC1 \; p = нет \; pct = 100 \; rua = mailto: serveradmin@mydomain.com \; ruf = mailto: serveradmin@mydomain.com "

Answer 2

Я предполагаю (потому что я не могу судить по тому, что вы опубликовали), потому что ваш домен отправителя SPF не "выровнен" с заголовком From.Вы отправляете через sendgrid, поэтому я ожидаю, что sendgrid также обрабатывает ваши отказы, поэтому у вас, вероятно, есть заголовок обратного пути к полученному сообщению, например:

Return-path: <bounces-username=example.net@sendgrid.net>

Но ваш заголовок From находится в вашемсобственный домен:

From: <username@example.net>

ваш SPF может дать разрешение на отправку с IP-адресов sendgrid (через include их записи SPF), так что вы получите пропуск для этого, но явно example.net и sendgrid.net не являются одним и тем же доменом, поэтому они не считаются выровненными, и вы получите сбой DMARC.

Для того, чтобы он выровнялся на aspf=s больше, любой ваш адрес отправителя должен быть сеткой отправки.сетевой адрес (возможно, не тот, который вы хотите), или ваш почтовый сервер должен быть на example.net (вы, вероятно, используете sendgrid, потому что не хотите запускать свой собственный почтовый сервер), поэтому вам нужно будет вернутьсяв aspf=r (расслабленный) режим.Это позволит вам создать CNAME в вашем DNS, который указывает имя в вашем домене, такое как mail.example.net на почтовом сервере sendgrid, и им нужно будет знать, что существует договоренность, чтобы они могли отправлять сообщения с использованием этого отправителя конвертаи в расслабленном режиме example.net и mail.example.net считаются выровненными, и вы получите DMARC PASS.

mxtoolbox даст вам пропуск, потому что ваша запись DMARC действительно совершенно корректна, если рассматривать ееизолированно, но если ваши домены в отправленных сообщениях фактически не выровнены, он все равно не будет работать.