Периодический сбой SPF, что-то связанное с полем <domain>

Question

Мой домен работает SPF/DMARC, но не DKIM. Совсем недавно мы начали получать периодические сбои SPF, о которых сообщалось в сводных отчетах DMAR C (почти все отчеты от Google, мы не большие отправители).

В отчете за тот же день мы можем видеть пропуски SPF, где <header_from> соответствует <domain> (например, наш домен. net), и сбой SPF, где <header_from> - домен (например, наш домен. * 1021). *) и <domain> содержит полное доменное имя почтового сервера (например, server.ourdomain. net).

Наша запись SPF: Name @Type TXTContent v=spf1 ip4:[our IP address] ~all

Наша запись DMAR C: Name _dmarcType TXT Content v=DMARC1; p=none; sp=none; rua=mailto:dmarc@[ourdomain.net]; ruf=mailto:dmarc@[ourdomain.net]; adkim=r; aspf=r; pct=100; ri=86400

Вот пример отчета DMAR C, обработанная информация в [квадратных скобок]. То, что я написал как [server.ourdomain.net], соответствует как нашей записи PTR для нашего внешнего IP-адреса, так и тому, что сервер настроен для предоставления в своем ответе HELO / EHLO. Заранее благодарим за любой совет.

<?xml version="1.0" encoding="UTF-8" ?>
<feedback>
  <report_metadata>
    <org_name>google.com</org_name>
    <email>noreply-dmarc-support@google.com</email>
    <extra_contact_info>https://support.google.com/a/answer/2466580</extra_contact_info>
    <report_id>230072615812425690</report_id>
    <date_range>
      <begin>1579564800</begin>
      <end>1579651199</end>
    </date_range>
  </report_metadata>
  <policy_published>
    <domain>[ourdomain.net]</domain>
    <adkim>r</adkim>
    <aspf>r</aspf>
    <p>none</p>
    <sp>none</sp>
    <pct>100</pct>
  </policy_published>
  <record>
    <row>
      <source_ip>[our IP address]</source_ip>
      <count>10</count>
      <policy_evaluated>
        <disposition>none</disposition>
        <dkim>fail</dkim>
        <spf>fail</spf>
      </policy_evaluated>
    </row>
    <identifiers>
      <header_from>[ourdomain.net]</header_from>
    </identifiers>
    <auth_results>
      <spf>
        <domain>[server.ourdomain.net]</domain>
        <result>none</result>
      </spf>
    </auth_results>
  </record>
  <record>
    <row>
      <source_ip>[our IP address]</source_ip>
      <count>1</count>
      <policy_evaluated>
        <disposition>none</disposition>
        <dkim>fail</dkim>
        <spf>pass</spf>
      </policy_evaluated>
    </row>
    <identifiers>
      <header_from>[ourdomain.net]</header_from>
    </identifiers>
    <auth_results>
      <spf>
        <domain>[ourdomain.net]</domain>
        <result>pass</result>
      </spf>
    </auth_results>
  </record>
  </feedback>

Answer 1

Обычно это происходит с сообщениями DSN (уведомления о состоянии доставки). В этом случае Return-Path пуст и SPF проверяется на имя EHLO / HELO.

Лучше всего опубликовать sh запись SPF для почтового хоста.