1 votes

Rapports DMARC - échec puis réussite, et "softfail".

Voici deux enregistrements de rapports, avec le nom de domaine réel de mon client remplacé par "exemple.com". Dans le premier, SPF est marqué "fail" en haut sous "policy_evaluated" et ensuite "pass" en bas sous auth_results. Je trouve cela déroutant. Il s'agit d'un courriel envoyé par un service que le client paie, et nous voulons donc que ces courriels soient délivrés s'ils proviennent effectivement et légitimement de ce service. Dois-je faire plus pour que SPF soit configuré pour ce service ?

La deuxième montre tous les échecs (et la propriété intellectuelle remonte à la Chine, je crois, où nous n'exerçons pas d'activités), de sorte qu'elle ne devrait pas être livrée. Pourquoi Google indique-t-il qu'il s'agit d'un "softfail" et non d'un simple "fail" ?

  <record>  
    <row>   
      <source_ip>204.28.11.160</source_ip>  
      <count>1</count>  
      <policy_evaluated>    
        <disposition>none</disposition> 
        <dkim>pass</dkim>   
        <spf>fail</spf> 
      </policy_evaluated>   
    </row>  
    <identifiers>   
      <header_from>example.com</header_from>    
    </identifiers>  
    <auth_results>  
      <dkim>    
        <domain>example.com</domain>    
        <selector>sl1</selector>    
        <result>pass</result>   
      </dkim>   
      <spf> 
        <domain>bounces.salsalabs.org</domain>  
        <result>pass</result>   
      </spf>    
    </auth_results> 
  </record> 

  <record>
    <row>
      <source_ip>60.23.112.175</source_ip>
      <count>1</count>
      <policy_evaluated>
        <disposition>none</disposition>
        <dkim>fail</dkim>
        <spf>fail</spf>
      </policy_evaluated>
    </row>
    <identifiers>
      <header_from>example.com</header_from>
    </identifiers>
    <auth_results>
      <spf>
        <domain>example.com</domain>
        <result>softfail</result>
      </spf>
    </auth_results>
  </record>

1voto

Paul Points 2607

En policy_evaluated fait référence aux contrôles d'alignement par rapport à l'enregistrement DMARC. Les résultats de cette section communiquent les résultats des contrôles d'alignement SPF et DKIM du DMARC, qui sont différents des contrôles SPF et DKIM.

Le premier record échoue à ce test parce que le message n'est pas conforme à l'enregistrement SPF. Le plus souvent, cela est dû au fait que l'enregistrement SPF n'a pas été mis à jour par le serveur (ou le service) expéditeur.

Si votre enregistrement SPF actuel est :

v=spf1 a mx ~all

Et vous utilisez un serveur d'envoi séparé à l'adresse IP 203.0.113.158 Le service de lettres d'information qui conseille de include leur enregistrement SPF à l'adresse _spf.example.net et un service de messagerie distinct qui conseille d'inclure 192.0.2.0/24 votre enregistrement SPF serait alors le suivant :

v=spf1 a mx ip4:203.0.113.158 ip4:192.0.2.0/24 include:_spf.example.net ~all

Notez que les disposition ist none parce que la balise et la valeur de la politique de réception du courrier demandé sont réglées sur none ( p=none ), de sorte que votre enregistrement DMARC ne sera pas appliqué par les serveurs de réception. Vous avez probablement une politique du type

v=DMARC1; p=none; rua=mailto:username@example.com

En none doit être utilisée lors de l'évaluation d'un dossier ou d'un nouveau service. Pour appliquer cette politique, l'enregistrement peut être modifié en quarantine qui demande aux serveurs de réception de placer les messages qui n'ont pas abouti dans le dossier spam, ou reject qui indique aux serveurs récepteurs de rejeter le message.

v=DMARC1; p=quarantine; rua=mailto:username@example.com

En auth_results fait référence au contrôle SPF. Le type d'échec du contrôle SPF est déterminé par le qualificatif publié dans votre enregistrement SPF, qui, d'après le rapport, est actuellement softfail ( ~ ).

Pour passer à l'échec si l'on utilise actuellement le ~ avec quelque chose comme :

v=spf1 a mx ~all

Passer au qualificatif d'échec ( - ) pour les contrôles qui ne correspondent pas :

v=spf1 a mx -all

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

X