Como evitar a rejeição de mensagens por causa do DMARC quando enviado pelo alias do Gmail?

Navegue suas respostas
3

Muitas pessoas adicionam 'outro endereço de e-mail como alias' para as contas do Gmail - falando aqui sobre o Gmail público e não o Google Apps - e eles podem usar o servidor do Gmail e não seus servidores de domínio como SMTP com o 'Tratar como uma configuração' alias '' . Embora o DMARC não cause problemas com "nenhum", ele faz com que as mensagens sejam rejeitadas por servidores como Hotmail, Yahoo e outros quando enviadas pelo Gmail usando "outro endereço" por causa de DMARC p="reject" ou p="quarentena". p>

Veja um exemplo de mensagem rejeitada:

Rejeitado pelo Yahoo, 

Delivery to the following recipient failed permanently:

[email protected]

Technical details of permanent failure:
Google tried to deliver your message, but it was rejected by the server for 
the recipient domain ymail.com by mta6.am0.yahoodns.net. [98.136.216.26].

The error that the other server returned was:
554 5.7.9 Message not accepted for policy reasons.  
See http://postmaster.yahoo.com/errors/postmaster-28.html

Rejeitado pelo Hotmail 

Delivery to the following recipient failed permanently:

[email protected]

Technical details of permanent failure:
Google tried to deliver your message, but it was rejected by the server for 
the recipient domain msn.com by mx3.hotmail.com. [65.55.37.72].

The error that the other server returned was:
550 5.7.0 (COL0-MC1-F8) Unfortunately, messages from (209.85.216.195) on 
behalf of (any-domain-com) could not be delivered due to domain owner 
policy restrictions.

Apesar da eficiência do registro DMARC, ainda não podemos fazer nenhuma solução, exceto pedir que os destinatários façam a lista de permissões desses servidores como "encaminhadores conhecidos", o que não é uma solução!

Alguém conhece outra maneira de continuar usando esse recurso no Gmail com políticas de rejeição e quarentena do DMARC?

Atualização:

O SPF do domínio está definido para não permitir todos os outros:

SPF de domínio v = spf1 mx include: somehost.net -all (mesmo quando usado ~ all ou inclusive inclode: _spf.google.com)

somehost.net SPF ip4: 1.2.3.4 ip4: 5.6.7.8 -all

O DKIM & SPF para domínio e host usado para receber resultado de passagem e mensagens usadas para acessar o Yahoo e o Hotmail até que a política de "rejeitar" seja definida para o DMARC do domínio.

Quando altero "tratar como um alias" no Gmail para "Usar servidores SMTP de domínio", ele envia normalmente com certeza.

Mesma coisa acontecendo com a conta personalizada do Yahoo ... outros provedores retornam mensagens.

Atualização 2

Eu abri uma discussão na dmarc-discuss e a resposta "noway (é uma característica do dmarc)" .... veja aqui medusa.blackops.org/pipermail/dmarc-discuss/2013-March/001684.html e aqui medusa.blackops.org/pipermail/dmarc-discuss/2013-March/001692.html ... muito ruim :(. Eu não vou usar então

    
por hsobhy 17.03.2013 / 23:59

2 respostas

2

Parece que você quer contornar a política que está sendo declarada no registro dmarc. É mais eficaz quando a política de todos os e-mails usando o domínio é enviada por servidores de e-mail sob o controle do domínio. Isso deve se aplicar a bancos, companhias aéreas, agentes de correio, governos e outros remetentes, onde é importante evitar a falsificação de endereços.

Se você precisar enviar do Gmail usando o outro domínio, esse domínio precisará adicionar o Google como uma fonte válida ou usar uma política fraca como "nenhum". Se você enviar para listas de discussão de um domínio protegido, é provável que você tenha problemas semelhantes.

Editar: o cabeçalho Reply-To é útil para lidar com casos em que o email é enviado em nome de outra pessoa. O cabeçalho De deve conter o remetente real. O endereço de resposta deve ser um endereço para a parte solicitante. As políticas do DMarc se aplicariam ao remetente real e seguiriam sua política de spoofing. Eu verifiquei e GMail não permite o uso de resposta aos cabeçalhos. (Muitos remetentes automatizados não aplicam essa abordagem.)

Para adicionar o GMail ao seu registro SPF, siga as rotas de redirecionamento e inclusão. Espero que você consiga incluir apenas _netblocks.google.com , embora precise de _netblocks2.google.com para suporte a IPv6. Acho que sua política substitui a política ?all incluída.

Usar um domínio ou subdomínio separado para listas de distribuição e remetentes de terceiros também é uma opção. Defina uma política mais solta para este domínio. Fornecer subdomínios separados para cada organização que envia mensagens em seu nome é uma boa opção de política. Isso permitirá que você isole rapidamente problemas relacionados a uma organização específica.

Eu implementei o SPF em resposta a uma tempestade de SPAM falsificando um domínio que eu controlava. Em um dia, o fluxo diminuiu significativamente e o volume foi mínimo em uma semana. Por fim, o tráfego restante foi enviado por spam para o endereço que havia sido coletado.

Embora alguns considerem a DMarc uma ferramenta de redução de spam, ela é realmente uma ferramenta anti-spoofing. Como tal, ele pode quebrar alguns casos de borda, como listas de discussão e remetentes usando hosts de terceiros para enviar mensagens. No meu caso, eu forneço acesso seguro ao WebMail, IMap e Envio de e-mails de fora da rede.

A redução de spoofing pode reduzir a quantidade de spam, mas apenas porque os remetentes (spambots) não conseguirão fingir quem são. Atualmente, os cheques SPF HELO mantêm um spambot que alega estar google.com sob controle.

    
por 28.04.2013 / 02:13
0

Você precisa incluir o registro SPF do Google no registro SPF do seu próprio domínio, para indicar que os servidores de e-mail do Google são remetentes válidos para seu domínio.

Por exemplo: 

v=spf1 a mx include=_spf.google.com -all
    
por 18.03.2013 / 01:07

Tags

Sobre uma página enorme e tradução Lookaside Buffer Usando o Zend Optimizer + com php-fpm + nginx