Как мне настроить SPF для Pass для Mailchimp, SES и EC2, чтобы DMARC частично не отказывал из-за смещения - PullRequest
Новая
       135

Как мне настроить SPF для Pass для Mailchimp, SES и EC2, чтобы DMARC частично не отказывал из-за смещения

0 голосов
/ 21 декабря 2018

Один из моих веб-сайтов отправляет электронные письма из различных источников, включая:

  • Mailchimp
  • Mandrill
  • Mailgun
  • Amazon SES
  • С самого сервера

Мы правильно настроили параметры SPF и DKIM для всех источников, поэтому мы решили добавить также DMARC и в то же время изменили все - на -all.

Все наши электронные письма проходили очень хорошо, но мы заметили, что наши электронные письма от Mailchimp «SPF Incapable» и поэтому не проходят полностью.

Большинство почтовых клиентов / учетных записей показывают, что DMARCПрошло, однако DMARCian и несколько почтовых клиентов выбрасывают DMARC Fail-alignment

Например:

enter image description here

DMARC.io , однако, говорит следующее:

SPF: SPF невозможен, поскольку MailChimp использует свой собственный домен в адресе отказа.Их инструмент проверки подлинности домена требует, в том числе Mailchimp, хотя.Чтобы обойти это без необходимости включать серверы Mailchimp, попробуйте включить в запись SPF только 'ip4: 205.201.128.0/20 ip4: 198.2.128.0/18 ip4: 148.105.8.0/21'.

Итак, я добавил их в свой SPF, но он по-прежнему показывает:

enter image description here

Все следующие IP-адреса охватываются этими обозначениями CIDR, поэтому яЯ не могу понять, почему SPF все еще смещен для SPF, но это исправляет DKIM ...

  • 198.2.185.161
  • 198.2.185.245
  • 198.2.141.4
  • 198.2.175.233
  • 198.2.185.245
  • 198.2.142.122

Я обнаружил следующее в stackoverflow: https://stackoverflow.com/a/50471866/2487602 однако это кажется немного неправильным в совете, потому что сервер отказов почти всегда отличается.У них сотни серверов.

Мой SPF выглядит так:

v=spf1 +a +mx +ip4:94.237.30.75 +ip4:94.237.30.85 +ip4:94.237.30.86 +ip4:94.237.30.87 +ip4:54.77.177.67 +ip4:34.246.233.211 +ip4:52.18.62.128 +ip4:34.241.119.225 +ip4:205.201.128.0/20 +ip4:198.2.128.0/18 +ip4:148.105.8.0/21 include:servers.mcsv.net include:spf.mandrillapp.com include:mailgun.org include:amazonses.com -all

Что я сделал не так / могу ли я улучшить, чтобы получитьSPF выровнен?

В качестве примечания, я предполагаю, что для первых 4 IP-адресов я мог бы просто использовать: +ip4:94.237.30.75/28, который будет включать эти 4 IP-адреса, а также 14 или около того других IP-адресов, которые не используются.неужели это так рискованно, особенно если у них не будет DKIM и, как следствие, DMARC пройдет?Чтобы сделать его немного более безопасным, я мог бы просто уменьшить эти 4 записи до +ip4:94.237.30.75 +ip4:94.237.30.85/30, что будет включать только 1 IP, который мы не используем.

Я также хочу отправлять электронные письма через EC2, а неSES для некоторых электронных писем (возможно, для замены Mailgun / SES), однако, когда мы отправляем электронные письма с этих серверов, они отправляются в спам за отсутствием обратного DNS.

Полагаю, исправление для этого - запроситьPTR запись будет настроена Amazon для 3х экземпляров EC2, которые мы используем?

Я запрашивал один из них раньше, но не был уверен, должен ли он указывать на IP моего основного веб-сайта илиIP-адрес сервера, с которого отправляются электронные письма ...

Что касается SES, даже после добавления SPF-включения и записи DKIM наша SPF-запись показывает «Нейтральный», а не «Пропуск», например, следующееэто из функции «Тест электронной почты» для SES / EC2

  • SPF: NEUTRAL with IP 54.240.7.46

Итак, подведем итоги ...

  1. Как сделатьмы заставляем Mailchimp полностью передавать SPF так, чтобы DMARC выровнен
  2. Как правильно настроить запись PTR для обратного DNS, если субдомен указывает на сервер, с которого оно отправило электронное письмо, или на сервер основного домена?
  3. Какя могу заставить Amazon SES выдать пропуск SPF, а не нейтральный SPF?

1 Ответ

0 голосов
/ 31 декабря 2018
  1. Вы не можете.Ответ в упомянутой вами теме правильный.Mailchimp установит адрес возврата в свой собственный домен.Таким образом, добавление диапазонов к вашей собственной записи SPF ничего не изменит (SPF проверяется по адресу отказа, а не по адресу header.from).Несмотря на то, что вы не полностью аутентифицируете, вы все равно передаете DMARC, и это не должно влиять на репутацию вашего домена (иначе никто не будет использовать MailChimp).
  2. Только владелец IP-адреса может установить PTRзапись в DNS.Он должен указывать на имя сервера, отправляющего электронные письма, желательно имя в EHLO / HELO. Эта тема имеет правильный ответ, я думаю, хотя я никогда не настраивал его лично.
  3. Какой домен адресов отказов используется в ваших электронных письмах AmazonSES?Вы настроили пользовательскую ПОЧТУ ОТ адреса , как описано здесь ?Результат Neutral обычно возвращается для записи SPF, заканчивающейся на ?all и не передающей ничего, что находится слева от него.Еще одна вещь, которая может происходить (если домен SPF является вашим собственным доменом), это то, что вы достигаете «ограничение количества символов на строку» для записей TXT DNS.Если вы не разбили запись хотя бы на две строки, проверка может не выполняться за пределами Mailchimp include.А при отсутствии модификатора all (не оценивается) по умолчанию используется neutral.Вы можете посмотреть, как выглядит ваша SPF-запись, с помощью любого инструмента поиска, но при запросе вашего домена с https://dns.google.com для записей TXT должны быть показаны (экранированные) двойные кавычки (") для места, где строка была обрезана.Например, вы можете проверить эту запись SPF , чтобы увидеть, как она выглядит: […]ip4:185.211.120.0\"\"/22 ip4:185.250.236.0/22[…]

Последнее, на что следует обратить внимание, это то, что вы близки к поиску DNSlimit . Похоже, что вы уже выполнили 8 поисков. После 10 поисков проверка SPF приведет к PERMERROR

...