我在谷歌应用程序(免费的旧版)上托pipe我的域名(让我们称之为example.com)的电子邮件。 我最近启用了DMARC报告,因此我现在每天收到从我的域发送的电子邮件报告。
我的问题是,有时我从google.com获取从我的域发送的电子邮件的报告,spf和dkim的值为pass。 这意味着电子邮件实际上是从我的谷歌应用程序帐户发送和签署的,并不是假装成我的帐户的人。 但是,我无法在任何帐户的任何已发送项目文件夹中find这些已发送的电子邮件。
从谷歌安全页面检查IP日志不会显示任何可疑的IP活动。
有没有什么办法可以让google.com的邮件服务器向我发送我没有发送的邮件的DMARC报告? 或者我有一个病毒,可能以某种方式从我的浏览器上的会话发送信息,然后从发送的项目文件夹中删除它?
我还应该提到,由于我没有从这个帐户发送太多的电子邮件,这些报告不是每天都来,当他们这样做时,我通常可以匹配与报告一起发送的电子邮件。 今天虽然我不能,因为我没有从Gmail发送任何电子邮件
今天的DMARC报告随后将我的域名更改为example.com。 报告文件名称是google.com!example.com!1452384000!1452470399.xml 。 你会注意到一个logging指定从amazonses.com发送的电子邮件。 那封电子邮件是合法的,实际上是由我发送的。 但是source_ip为2607:f8b0:4003:c06 :: 248的其他logging不是由我发送的。
任何人都可以解释我所看到的?
<?xml version="1.0" encoding="UTF-8" ?> <feedback> <report_metadata> <org_name>google.com</org_name> <email>noreply-dmarc[email protected]</email> <extra_contact_info>https://support.google.com/a/answer/2466580</extra_contact_info> <report_id>9818071788624937284</report_id> <date_range> <begin>1452384000</begin> <end>1452470399</end> </date_range> </report_metadata> <policy_published> <domain>example.com</domain> <adkim>r</adkim> <aspf>r</aspf> <p>none</p> <sp>none</sp> <pct>100</pct> </policy_published> <record> <row> <source_ip>54.240.6.222</source_ip> <count>1</count> <policy_evaluated> <disposition>none</disposition> <dkim>pass</dkim> <spf>fail</spf> </policy_evaluated> </row> <identifiers> <header_from>example.com</header_from> </identifiers> <auth_results> <dkim> <domain>example.com</domain> <result>pass</result> </dkim> <dkim> <domain>amazonses.com</domain> <result>pass</result> </dkim> <spf> <domain>eu-west-1.amazonses.com</domain> <result>pass</result> </spf> </auth_results> </record> <record> <row> <source_ip>2607:f8b0:4003:c06::248</source_ip> <count>1</count> <policy_evaluated> <disposition>none</disposition> <dkim>pass</dkim> <spf>pass</spf> </policy_evaluated> </row> <identifiers> <header_from>example.com</header_from> </identifiers> <auth_results> <dkim> <domain>example.com</domain> <result>pass</result> </dkim> <spf> <domain>example.com</domain> <result>pass</result> </spf> </auth_results> </record> </feedback>
spflogging是"v=spf1 include:_spf.google.com include:amazonses.com ~all"因为我也通过亚马逊邮件发送邮件。
DMARClogging是"v=DMARC1; p=none; pct=100; sp=none; rua=mailto:[email protected];"
我终于明白为什么我看到这些DMARC关于从我的域发送正确签名的电子邮件的报告。
正如我在问题中提到的,我的DMARClogging是"v=DMARC1; p=none; pct=100; sp=none; rua=mailto:[email protected];"
默认情况下,Google应用不会将发送到[email protected]的电子邮件发送到您的任何邮箱。 为了让我收到这些电子邮件,我必须创build一个具有相同名称的组,并添加自己作为此组的成员。 此Google设置步骤在本Google Apps帮助页面中进行了说明 。
但是,我发现邮件转发到我的邮箱的电子邮件被视为从我的域发送的电子邮件,这意味着我也收到了DMARC报告。 这创build了一个反馈回路,所以我每天收到一份DMARC报告,因为DMARC报告是在前一天转发的。
一旦我创build了一个名为[email protected]的新帐户来接受DMARC电子邮件,并将我的DNSlogging更改为"v=DMARC1; p=none; pct=100; sp=none; rua=mailto:[email protected];" 问题就消失了。
DKIM用于validation发送邮件的服务器。 虽然我还没有玩过很多,据我所知,你可以在example.net有一个邮件服务器使用自己的DKIM签名发送example.com的电子邮件。 例如,我将Google Apps用于没有该服务的DKIMlogging的域,但仍然通过DKIM传递结果,例如from=example-com.123456789.gappssmtp.com; dkim=pass (ok) from=example-com.123456789.gappssmtp.com; dkim=pass (ok)
根据SPFlogging,我怀疑服务器使用您的服务和自己的DKIM将通过DMARC,正如我所猜测的那样, 2607:f8b0:4003:c06 :: 248由Google拥有,并且具有rDNS邮件-oi0-x248.google.com。
这就是说,你确定你不是那个发邮件的人吗? 也许是从你使用的其他服务或服务器生成的? 嘿,谷歌可以包括它发送给你的汇总报告电子邮件?
这是2017年的答案。
我将所有与邮件相关的(MX,TXT)logging保留在3600(1小时)TTL,所以在紧急情况下,我们可以根据需要将邮件重新路由到新服务器,或者例如快速编辑我们的DKIM签名。
辅助MXlogging和其他不需要太多变化的logging(如webmail子域名)我保持在43200(12小时)。
最后,如果我们正在计划一个服务器移动或IP更改,我们将TTL降低到移动前一天的100秒。
我有兴趣在2017年听到一些专家的想法!