Como melhorar a conformidade com o DMARC?

Navegue suas respostas
2

Tenho monitorado nossa conformidade com o DMARC com a política "p = none" por um mês ou dois usando dmarcian e dmarcanalyzer. Percebi que quando enviamos uma grande campanha de marketing por e-mail (10k + e-mails), ocorre um pico no e-mail que falha no DMARC que parece ser da campanha.

Minha empresa envia e-mails de marketing para nossos clientes usando o Pardot, e o Pardot envia e-mails usando um endereço 5321.MailFrom com um domínio de "bounce.s7.exacttarget.com". Nós configuramos nossas chaves DKIM adequadamente no Pardot e temos registros SPF em nosso domínio que permitem que seus servidores enviem e-mails em nosso nome. Também sei que, como os e-mails do Pardot são enviados de "bounce.s7.exacttarget.com", nunca estaremos no alinhamento DMARC para SPF.

Portanto, o problema é que, se enviarmos 10.000 e-mails para nossos clientes, só veremos sucessos de relatórios agregados do DMARC (usando DKIM) para 1.000-1.500 e-mails. (Assumo que é normal que apenas uma porcentagem dos servidores de e-mail envie relatórios agregados?) E vejo um pico de falhas no relatório agregado do DMARC para 100-500 e-mails.

Muitos deles mostram que o DKIM falha no nosso domínio, o que é intrigante, e muitos mostram que o DKIM falha por um domínio completamente diferente. Eu pesquisei alguns dos domínios que falharam no DKIM, e os números desses domínios parecem corresponder aos e-mails que foram enviados para esse domínio por meio de nossa campanha. Isso soa como se o e-mail tivesse chegado a um servidor de e-mail e depois fosse encaminhado, o que quebrou a assinatura DKIM.

Isso soa provável para você?

Como faço para receber e-mails de marketing legítimos para nossos clientes para passarem ao DMARC quando houver encaminhamento?

    
por Stephen 23.05.2017 / 23:51

1 resposta

2

Algumas reflexões:

  • Eu só esperaria ver relatórios agregados do DMARC para as mensagens enviadas para grandes provedores de consumidores, como Gmail, Hotmail, Yahoo e AOL. Você verá um pequeno número de relatórios agregados de outros domínios, mas provavelmente menos de 1% do seu e-mail de saída. Se 1500/10000 for a proporção correta para os provedores de consumidores em sua lista de e-mails, você não perderá nenhum dado.

  • Você quer investigar as falhas específicas para esses 100-500 para determinar se há algo que você possa corrigir lá. Com alguma sorte, uma porcentagem utilizável dessas será da Microsoft, onde você obtém FBRs além do XML. Caso contrário, você desejará criar algumas caixas de correio fictícias nos outros provedores para verificar se é possível capturar mensagens que falham e analisá-las.

  • Você está exatamente certo de que as falhas de DKIM nos domínios para os quais você enviou são encaminhamentos mais prováveis. Há duas instâncias principais aqui com as quais estou familiarizado: ou um domínio realmente encaminhava e renunciava à sua mensagem devido à própria configuração, ou o Google encaminhava as mensagens internamente e quebrava as assinaturas. Você não precisa se preocupar com o último caso os endereços IP informados são internos ao Google e foram enviados em relatórios do Google que são (infelizmente) normais. (Você também pode pesquisar os MXes desses domínios para ver se eles são do Google.) No entanto, se os endereços IP informados não forem o Google, você pode assumir que sua mensagem foi encaminhada por um encaminhador que a desconcertou.

Se você estiver usando um serviço como o Agari (ex-funcionário), você pode, com bastante facilidade, fazer uma triagem dos dados para descobrir com quais pessoas precisa se preocupar. Se você está fazendo isso sozinho de alguma forma, eu sugiro extrair todos os IPs que falharam duplamente (onde ambos, DKIM e SPF falharam) para uma lista, e então correlacionar os FBRs à lista para ver se há algum restante problemas que você pode consertar.

100-500 falhas em 1500 relatórios totais do DMARC soam muito altas para mim. Eu suspeito que há algo fixo lá. Uma taxa de falha de < 2-4% para o SPF e < 2-4% para o DKIM usualmente traduz-se numa taxa global de falha de < .5%, que geralmente é considerado aceitável, embora, claro, sua milhagem possa variar: D

    
por 13.07.2017 / 11:21

Tags

Limitando os tipos de arquivos disponíveis para upload com o arquivo .htaccess [closed] O Apache não escuta a porta especificada