Назначение лица, подписывающего DKIM, кроме домена "От"
Несколько месяцев назад я внедрил SPF/DKIM/DMARC для своей компании из трех человек. После пробного периода я переключил наш DMARC на "p=reject", чтобы электронные письма отклонялись, если они не прошли SPF/DKIM. Как правило, это работает: наши электронные письма проходят, и, основываясь на данных отчетов DMARC, электронные письма спамеров, пытающиеся подделать поступающие с нашего домена, отклоняются. Сервер Ubuntu/Postfix.
Единственное, что не работает, - это то, что для календарей мы использовали календари Google с учетными записями Google с нашими рабочими электронными письмами (с доменом нашей компании; не с адресами Gmail). Когда один из нас создает приглашение в календаре Google (либо на веб-сайте Google, либо через Thunderbird/Lightning с провайдером для Календаря Google) с участником-получателем с адресом электронной почты, размещенным в Службах Google, Google отклоняет наше приглашение по электронной почте. В ответном сообщении от Google от имени домена, размещенного в Службах Google, говорится, что отказ основан на политике DMARC моего домена:
Google попытался доставить ваше сообщение, но оно было отклонено сервером для домена получателя [удаленный домен Служб Google удален] пользователем aspmx.l.google.com. Ошибка, которую возвратил другой сервер, была следующей: неаутентифицированная электронная почта от [Домен моей компании удален] не принята из-за политики DMARC домена. Пожалуйста, свяжитесь с администратором домена [Домен моей компании удален], если это была законная почта.
Справа ниже (предположительно) действительная подпись DKIM для google.com. Другими словами, Google отклонил свою собственную электронную почту, подписанную DKIM, как спам, потому что это не то, что написано в моей политике DMARC. Но я не могу понять, как заставить мою политику DMARC сказать иначе. Для SPF я могу назначить Google действительным отправителем. Но я не могу найти какой-либо способ сделать это для DKIM: что-то, что я могу добавить в свою запись DKIM, которая гласит: "Если у него есть действительная подпись Google DKIM, это не спам". Существует ли такая вещь? Способ авторизации другого лица, подписавшего DKIM, кроме домена "От"?
2 ответа
Обратите внимание, что вы можете иметь несколько селекторов DKIM, опубликованных в DNS. Тот, который вы уже используете для локального сервера, а другой для почты, исходящей из Служб Google (например, ubuntu._domainkey.yourdomain.com а также google._domainkey.yourdomain.com). Включите подпись DKIM в настройках Служб Google, а приглашения Календаря будут подписаны подписями google.com и yourdomain.com (последние будут соответствовать google._domainkey.yourdomain.com селектор). Это должно решить проблему с DMARC, если в определение SPF уже добавлено пространство Google IP. Надеюсь это поможет.
В отличие от SPF, который mail from и DKIM, который является заголовком / содержимым сообщения, dmarc основан на from заголовок. Таким образом, ваш SPF (который я бы порекомендовал вам добавить Google, если вы должны использовать Google Calendaring).
Начните с добавления spf от Google и убедитесь, что dmark настроен на непринужденную работу. Они используют информацию из ваших криминалистических отчетов dmarc для внесения более определенных изменений.
Я отправлю электронное письмо в группу dmarc и посмотрю, есть ли у них какие-либо другие рекомендации. Если у вас есть хотя бы одна учетная запись электронной почты в приложениях Google, вы можете ретранслировать всю электронную почту с собственного сервера (например, с вашего почтового сервера).