2 votes

DMARC <policy_evaluated> SPF échoue lors de l'utilisation de PostSRSD

Je fais fonctionner un serveur de messagerie sous example.com qui envoie des courriels pour quelques domaines. Comme mon serveur n'a pas de boîte aux lettres, tous les courriels qu'il reçoit sont transférés vers des comptes Gmail particuliers. Pour éviter que le SPF de ces courriels ne devienne softfail J'ai installé PostSRSD pour réécrire l'en-tête du courrier de façon à ce que tout le courrier transféré provienne de example.com et le FPS passe.

Maintenant, quand je regarde la source du message pour mes emails (à travers tous mes domaines hébergés), tout semble parfait. Tous les mails transférés passent SPF et DKIM. Mais lorsque le rapport DMARC pour mon domaine virtuel (qui n'est pas un domaine hébergé) est affiché, tout se passe bien. example.com ) les domaines reviennent, j'obtiens ceci :

<policy_evaluated>
    <disposition>none</disposition>
    <dkim>pass</dkim>
    <spf>fail</spf>
</policy_evaluated>

Une recherche sur Google m'indique que le SPF échoue à cause de la réécriture PostSRSD. Mais en <auth_results> l'enregistrement SPF est vérifié par rapport à example.com (bien qu'il s'agisse d'un enregistrement DMARC pour, disons domain.com ) et ça passe !

<auth_results>
    <dkim>
        <domain>domain.com</domain>
        <result>pass</result>
        <selector>mail</selector>
    </dkim>
    <spf>
        <domain>example.com</domain>
        <result>pass</result>
    </spf>
</auth_results>

Si je laisse ma configuration PostSRSD telle qu'elle est (c'est-à-dire les courriels de domain.com envoyé par mon serveur de messagerie continue d'être réécrit en example.com ), je crains que cela n'affecte la réputation IP de mon serveur de messagerie. Le fera-t-il ? Si c'est le cas, je vais devoir modifier PostSRSD pour ne pas réécrire mes domaines virtuels hébergés.

2voto

Rob Lambden Points 260

Quelle est la politique DMARC pour les domaines virtuels ? S'ils comprennent des aspf=r o aspf=s alors SPF doit être basé sur un domaine qui est soit le même que le leur, soit lié à lui (dans un sous-domaine). Ainsi, bien qu'un contrôle SPF puisse réussir, s'il n'y a pas d'alignement des domaines du point de vue de DMARC, c'est un échec.

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

X