Designando um Signatário DKIM Diferente do Domínio “From”

6

Há alguns meses, implementei o SPF / DKIM / DMARC para minha empresa de três pessoas. Depois de um período de teste, mudei o nosso DMARC para "p = reject", para que os emails sejam rejeitados se falharem no SPF / DKIM. Geralmente, funciona: nossos e-mails passam e, com base nos dados dos relatórios do DMARC, os e-mails dos spammers que tentam forjar vindos de nosso domínio estão sendo rejeitados. O servidor é Ubuntu / Postfix.

A única coisa que não funciona é que, para os calendários, usamos calendários do Google com as Contas do Google com nossos e-mails de trabalho (com o domínio de nossa empresa, e não com endereços do Gmail). Quando um de nós cria um convite de agenda do Google (no site do Google ou via Thunderbird / Lightning com Provider for Google Calendar) com um destinatário de participante com um endereço de e-mail hospedado pelo Google Apps, o Google rejeita nosso e-mail de convite. A mensagem de retorno do Google em nome do domínio hospedado pelo Google Apps diz que a rejeição é baseada na política DMARC do meu domínio:

Google tried to deliver your message, but it was rejected by the server for the recipient domain [Google Apps Hosted Domain Removed] by aspmx.l.google.com. The error that the other server returned was: Unauthenticated email from [My Company's Domain Removed] is not accepted due to domain's DMARC policy. Please contact administrator of [My Company's Domain Removed] domain if this was a legitimate mail.

Logo abaixo, é uma assinatura DKIM (presumivelmente) válida para google.com. Em outras palavras, o Google rejeitou seu próprio e-mail assinado por DKIM como spam, porque não é isso que minha política DMARC diz. Mas não consigo descobrir como fazer com que minha política DMARC diga o contrário. Para o SPF, posso designar o Google como um remetente válido. Mas não consigo encontrar uma maneira de fazer isso para o DKIM: algo que posso colocar no meu registro DKIM que diz "Se ele tiver uma assinatura válida do Google DKIM, isso não é spam". Será que tal coisa existe? Uma maneira de autorizar outro assinante DKIM diferente do domínio "De"?

    
por joseph_morris 18.09.2013 / 03:16

2 respostas

1

Por favor, note que você pode ter vários seletores DKIM publicados no DNS. O que você já está usando para o servidor local e outro para o email originado do Google Apps (por exemplo, ubuntu._domainkey.yourdomain.com e google._domainkey.yourdomain.com ). Ativar o login do DKIM nas configurações do Google Apps e os convites do Agenda serão assinados por assinaturas google.com e yourdomain.com (a última corresponderá ao seletor google._domainkey.yourdomain.com ). Isso deve resolver o problema com o DMARC se você já tiver adicionado o espaço do Google IP à sua definição de SPF. Espero que isso ajude.

    
por 19.09.2013 / 23:18
0

ao contrário do SPF, que é mail from e DKIM, que é o cabeçalho / conteúdo da mensagem, o dmarc é baseado no cabeçalho from . Então, o seu SPF (que eu recomendo que você adicione google se você deve usar o calendário do Google).

Comece adicionando o spf do google e assegure-se de que a marca esteja ajustada para relaxamento. Eles usam as informações dos relatórios forenses do dmarc para fazer ajustes mais definidos.

Vou enviar um e-mail ao grupo dmarc e ver se eles têm outras recomendações, se você estiver inscrito com até uma conta de e-mail no google apps, poderá retransmitir todos os e-mails de um servidor interno (como seu servidor de e-mail).

link

    
por 23.11.2015 / 15:31

Tags