DMFC Email SPF policy_evaluated & auth_result имеют несовместимый статус

Question

Некоторые (но не все) электронные письма от нашего сервиса помечаются как фишинг с помощью Gmail и спам с помощью Hotmail.

Электронные письма, помеченные как фишинговые, отправляются из приложения, развернутого на виртуальных машинах EC2, которые используют amazon SES для фактической отправки. Приложение отправляет другие электронные письма, которые не помечены (в данный момент приложение отправляет 4 вида электронных писем).

У нас также есть пользователь, использующий учетную запись MS Exchange, размещенную в OVH, для отправки электронных писем с этого домена, поэтому в записи spf включена запись ovh.

Мы настроили следующие записи в домене:

_amazonses.mydomain.com.    1799    IN  TXT "JiAZ9E5gIc7VbPfMI4rYSBGZJeTe3lTF+eigtVUF1fg="
_amazonses.mydomain.com.    1799    IN  TXT "vkSOtQqrtz2frIPg+6SeU7CmCenkTPjjvZdCQe/u0Qk="
_dmarc.mydomain.com.    299 IN  TXT "v=DMARC1\;p=none\;rua=mailto:postmaster@mydomain.com"
2anucjune6cx5dfjwtpg5w7xi5bivkdi._domainkey.mydomain.com. 1799 IN CNAME 2anucjune6cx5dfjwtpg5w7xi5bivkdi.dkim.amazonses.com.
5m7pppm63mxlxz3w3al3juxlgwb4j67m._domainkey.mydomain.com. 1799 IN CNAME 5m7pppm63mxlxz3w3al3juxlgwb4j67m.dkim.amazonses.com.
7tpgaubzvve5ekkq3pyu7rhmrxhgif5f._domainkey.mydomain.com. 1799 IN CNAME 7tpgaubzvve5ekkq3pyu7rhmrxhgif5f.dkim.amazonses.com.
mydomain.com.       299 IN  TXT "v=spf1 a mx include:amazonses.com include:mx.ovh.com ~all"
mydomain.com.       299 IN  SPF "v=spf1 a mx include:amazonses.com include:mx.ovh.com ~all"

Вот отчеты DMARC, которые мы получаем от Google:

  <record>
    <row>
      <source_ip>54.240.6.219</source_ip>
      <count>1</count>
      <policy_evaluated>
        <disposition>none</disposition>
        <dkim>pass</dkim>
        <spf>fail</spf>
      </policy_evaluated>
    </row>
    <identifiers>
      <header_from>mydomain.com</header_from>
    </identifiers>
    <auth_results>
      <dkim>
        <domain>mydomain.com</domain>
        <result>pass</result>
      </dkim>
      <spf>
        <domain>eu-west-1.amazonses.com</domain>
        <result>pass</result>
      </spf>
    </auth_results>
  </record>

и вот один из hotmail.com

<record>
  <row>
    <source_ip>54.240.6.212</source_ip>
    <count>1</count>
    <policy_evaluated>
      <disposition>none</disposition>
      <dkim>pass</dkim>
      <spf>fail</spf>
    </policy_evaluated>
  </row>
  <identifiers>
    <header_from>mydomain.com</header_from>
  </identifiers>
  <auth_results>
    <spf>
      <domain>eu-west-1.amazonses.com</domain>
      <result>pass</result>
    </spf>
    <dkim>
      <domain>mydomain.com</domain>
      <result>pass</result>
    </dkim>
  </auth_results>

Как вы можете увидеть запись SPF для policy_evaluated имеет fail однако список auth_results СПФ как быть pass Чем можно объяснить непоследовательные состояния? Может ли это несоответствие быть источником нашей почты, помеченной как фишинг / спам?

Answer 1

Похоже, это связано с проблемами выравнивания домена DMARC. Как указано в отчете, доменом для результата аутентификации SPF был «eu-west-1.amazonses.com», который не выровнен с header_from «mydomain.com». Почему DMARC оценивает SPF с доменом amazonses.com, я не знаю. У меня та же проблема, и я не понимаю, как ее решить. Из проекта DMARC:

   Example 3.  This record indicates a single message matching this set
   of data points.  The DMARC disposition for this message was "reject"
   based on DMARC aligned results for SPF and DKIM of "fail" and the
   domain's reject policy.  There was no DKIM signature on this message,
   as in Example 1.  The SPF authentication result was "pass" with a
   MAILFROM domain of "classifiedads.com".  The SPF domain is not
   aligned with the header From domain, causing the DMARC aligned SPF
   result to be "fail".

   <record>
      <row>
         <source_ip>65.61.105.5</source_ip>
         <count>1</count>
         <policy_evaluated>
            <disposition>reject</disposition>
            <dkim>fail</dkim>
            <spf>fail</spf>
            </policy_evaluated>
         </row>
      <identifiers>
         <header_from>facebook.com</header_from>
         </identifiers>
      <auth_results>
         <dkim>
            <domain></domain>
            <result>none</result>
            </dkim>
         <spf>
            <domain>classifiedads.com</domain>
            <result>pass</result>
            </spf>
         </auth_results>
      </record>

Answer 2

Это вряд ли является причиной того, что ваши сообщения помечаются как фишинг / спам. Ваши элементы <policy_evaluated> показывают, что вы передаете DKIM и, следовательно, вы передаете DMARC в целом.

запись SPF для policy_evaluated имеет состояние сбоя, однако список auth_results spf считается пропущенным. Чем можно объяснить непоследовательные состояния?

Auth_results не учитывает выравнивание идентификатора, в то время как общая оценка DMARC делает, поэтому auth_results для SPF может быть передано, и общие результаты SPF могут быть неудачными.

Почему SPF сравнивается с доменом amazonses.com, а не с вашим? В отличие от DKIM, SPF не проверяет доменное имя в заголовке From (который будет вашим доменом). Он проверяет IP-адрес отправителя SMTP. В данном случае это IP-адрес Amazon, который правильно передает SPF.

Рекомендации:

https://tools.ietf.org/html/rfc7489

http://sesblog.amazon.com/post/Tx3IREZBQXXL8O8/SPF-and-Amazon-SES