有没有办法强制DMARC失败/拒绝不通过DKIM和SPF的邮件?
我们一直在缩小失败的数字,但是我们汇总(rua)报告中的一些领域正在通过DKIM,我们宁愿他们因为我们不承认DMARC而失败。
我们承认的领域是完全一致的。
我们的最终目标是,除非它完全一致(DKIM和SPF),否则该信息将被拒绝
不,DMARC旨在只需要DKIM + ADKIM或SPF + ASPF即可通过。
没有要求这两个要求。
我发现很难理解DKIM如何通过alignmenttesting,如果d = key不匹配,那么ADKIMtesting就会失败。
看看这些标识符是如何匹配的: DMARC电子邮件标识符
即使你没有在你的DMARClogging中指定adkim,它默认为“轻松”,但仍然不排队。
根据DMARC的基本假设,除非邮件来自您控制的服务器,否则任何人都不能通过DKIM或SPFtesting作为您的域名。 两者中的任何一个都足以证实这一点。
因此,没有办法迫使DMARC要求双方同意,而且没有理由这样做。
如果第三方能够像您一样通过DKIMtesting,而您没有授权他们,那么您就有安全问题,这就是您需要解决的问题。
首先,确保你不会错误地解释你所看到的报告。 他们是DKIM签名的,但有一个不属于你的域名? 如果是这样,就没有什么需要做的了。 但是,如果您未经您授权的电子邮件是与您的域名DKIM签名,这表明您做错了什么。
采取的步骤:
确保您没有签名来自不受信任来源的邮件。 您应该只将DKIM签名添加到源自您和您的用户的邮件中。
如果使用OpenDKIM,则由InternalHosts选项控制,并且还应该确保在通过本地filter或代理传递邮件之后不会重新运行OpenDKIM,这会使邮件看起来像内部发送的邮件。