Dlaczego mój e-mail nie przechodzi testu DKIM Gmaila?

10

Mam wiadomość, która została odrzucona przez Gmaila, nie wiem dlaczego. Przechodzi SPF. Nie używamy DKIM. Czy muszę skonfigurować DKIM?

Mam kontrolę nad „example.com”. Nasz serwer pocztowy to „server.example.com” (hostowany w bluehost)

Nasz rekord SPF to

v=spf1 +a +mx ?include:bluehost.com -all 

Jednak Gmail odrzucił wiadomość z:

550-5.7.1 Nieuwierzytelniona wiadomość e-mail z example.com nie jest akceptowana z powodu zasad DMARC domeny 550-5.7.1. Skontaktuj się z administratorem example.com ...

Nagłówki wiadomości:

Return-path: <[email protected]>
Received: from [99.127.228.246] (port=61813 helo=[192.168.1.66])
    by server.example.com with esmtpsa (TLSv1:AES128-SHA:128)
    (Exim 4.80.1)
    (envelope-from <[email protected]>)
    id 1VMLM8-0007ok-5c; Wed, 18 Sep 2013 17:16:03 +0000
From: Sabrina <[email protected]>
Content-Type: multipart/alternative; boundary="Apple-Mail=_2FE0763D-B160-49C4-8202-B8258851AFAD"
Subject: positive self thoughts/talk 
Date: Wed, 18 Sep 2013 10:15:24 -0700
Message-Id: <[email protected]>
To: Tanja Schulte-Irwin <[email protected]>,
Zachary Bloom <[email protected]>
Mime-Version: 1.0 (Apple Message framework v1278)
X-Mailer: Apple Mail (2.1278)
nielsbot
źródło

Odpowiedzi:

12

Twój rekord SPF nie ma na to wpływu.

Wygląda na to, że masz ustawiony rekord DMARC i nie podpisujesz poczty wychodzącej za pomocą DKIM. Aby rozwiązać problem, podpisz pocztę wychodzącą lub usuń zasady DMARC.

Rekord DMARC jest rekordem TXT, podobnie jak rekord SPF, ale jest _dmarc.example.nettam, gdzie example.net jest Twoją domeną. Jeśli uważasz, że go nie masz lub nie chcesz go usunąć, zmień go na, v=DMARC1; p=noneaby go wyzerować.

Alternatywnie, ponieważ używasz SPF, widzę, że nie chcesz tego robić. W takim przypadku pozostaw swój rekord _dmarc bez zmian, ale będziesz musiał się go pozbyć lub zmienić.

DKIM określa, że ​​dla domeny example.net zostanie wysłany zapytanie do rekordu DKIM IN TXT _domainkeys.example.net. Musisz znaleźć ten rekord i albo go usunąć, albo dodać t=yflagę, aby określić, że (ponieważ pozornie testujesz DKIM) wyniki weryfikacji DKIM należy zignorować. Upewnij się także, że twój rekord _dmarc nie zawiera tagu adkim, a szczególnie nie adkim=s.

Falcon Momot
źródło
Aby wyjaśnić - DMARC wymaga DKIM? Włączyłem DMARC, ponieważ chciałem, aby odrzucone SPF nie były zwracane.
nielsbot
1
Nie sądzę, aby DMARC wymagał DKIM, ale jeśli masz DMARC i DKIM, z pewnością mogą one wchodzić w interakcje. Być może będziesz mógł skonfigurować DKIM, a następnie go nie używać, określając tryb testowania, ale tak naprawdę po prostu skonfiguruj DKIM. Byłoby fajnie, gdybyś zamieścił w pytaniu rekordy _dmarc i _domainkeys w swojej domenie.
Falcon Momot,
Dzięki. Jeśli DMARC nie wymaga DKIM, dlaczego moja wiadomość zostałaby odrzucona? Przechodzi SPF. Czy nie muszę modyfikować konfiguracji serwera pocztowego? Nie jestem pewien, czy mogę z Bluehost VPS. Kiedy wrócę do domu, opublikuję rekord DMARC.
nielsbot,
3
Polityka DMARC nakazuje jej odrzucanie lub rozsyłanie wiadomości. Sprawdzanie poprawności DKIM jest osobne.
Falcon Momot,
6

Twoje dane są zaciemnione, co utrudnia pomoc. Widzę wiele problemów:

  • Jeśli nie zaciemniłeś swojego adresu IP, twój DNS przechodzi walidację rDNS, ale wygląda bardzo podobnie do spambota. Spróbuj skonfigurować server.example.com jako PTR dla swojego adresu i dodaj server.example.com do swojego DNS. Uzyskanie konfiguracji rekordu PTR wymaga wsparcia twojego dostawcy adresu IP (zazwyczaj twojego dostawcy usług internetowych). Potrzebujesz do tego stałego adresu IP.
  • Twój serwer wydaje się nie wiedzieć, kto to jest. Powinien podać nazwę server.example.com jako swoją nazwę w żądaniu HELO lub ELHO.
  • Twoja poczta nie jest podpisana przez DKIM. DMARC nie wymaga DKIM, ale twoja polisa musi pasować do twojej praktyki.

Spróbuj wysłać wiadomość e-mail na adres [email protected] (zgłoszony brak usług), aby sprawdzić, jak dobrze skonfigurowano serwer. Inne opcje są wymienione w moim artykule na temat wykrywania fałszowania serwera e-mail .

BillThor
źródło
Haha, ja też powinienem był zmienić adresy IP :)
nielsbot 19.09.2013
1
Nie, nie powinieneś. To znacznie utrudnia rozwiązywanie problemów (i absolutnie nic nie robi).
rodzic
[email protected] nie wydaje się już niestety działać. (tylko uwaga dla przyszłych gości)
Delphinator
3

Jeśli w Twojej domenie nie ma skonfigurowanego DKIM, zdecydowanie nie musisz go konfigurować. Jego brak nie spowodowałby, że GMail wyśle ​​Twój e-mail do spamu. Jego obecność może podnieść ocenę SPAM, więc nie zostanie odrzucona.

Aby sprawdzić SPF, musisz podać nam swoją domenę i adresy IP swojego serwera SMTP. Lub możesz użyć narzędzi do sprawdzania online na http://www.openspf.org/ .

Aby zrozumieć DMARC, sprawdź to: http://support.google.com/a/bin/answer.py?hl=pl&answer=2466580 .

Aleš Krajník
źródło