Gmail dmarc 回報SPF錯誤

spf dns紀錄 mail dmarc

Franky Chen 2020-05-21 21:04:13 ‧ 5559 瀏覽

分享至

各位好：
小弟今天收到來自來自noreply-dmarc-support@google.com的信件
附檔如下: (域名已替換為example.com)

<?xml version="1.0" encoding="UTF-8" ?>
<feedback>
  <report_metadata>
    <org_name>google.com</org_name>
    <email>noreply-dmarc-support@google.com</email>
    <extra_contact_info>https://support.google.com/a/answer/2466580</extra_contact_info>
    <report_id>3700419840893800491</report_id>
    <date_range>
      <begin>1589932800</begin>
      <end>1590019199</end>
    </date_range>
  </report_metadata>
  <policy_published>
    <domain>example.com</domain>
    <adkim>r</adkim>
    <aspf>r</aspf>
    <p>none</p>
    <sp>none</sp>
    <pct>100</pct>
  </policy_published>
  <record>
    <row>
      <source_ip>209.85.220.65</source_ip>
      <count>1</count>
      <policy_evaluated>
        <disposition>none</disposition>
        <dkim>pass</dkim>
        <spf>fail</spf>
      </policy_evaluated>
    </row>
    <identifiers>
      <header_from>example.com</header_from>
    </identifiers>
    <auth_results>
      <dkim>
        <domain>example.com</domain>
        <result>pass</result>
        <selector>key</selector>
      </dkim>
      <spf>
        <domain>gmail.com</domain>
        <result>pass</result>
      </spf>
    </auth_results>
  </record>
</feedback>

感覺我的SPF設定好像錯了，因為他寫<spf>fail</spf>
我的郵件服務是improvmx提供的
DNS 紀錄如下: (nameserver 是 cloudflare)

type	name	content	TTL
TXT	example.com	v=spf1 include:spf.improvmx.com ~all	auto
SPF	example.com	v=spf1 include:spf.improvmx.com ~all	auto

麻煩各位幫忙!

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

3 個回答

ks1217

iT邦研究生 1 級 ‧ 2020-05-22 09:55:51

最佳解答

您好! 請問您有設定
rua=mailto:你的信箱@example.com嗎?

如果有, 這是Gmail 產生的每日結果報告(針對DMARC)而已,
其實還有其他email 服務商也會有日報, 就看服務商有沒有開啟偵測 DMARC機制.

這封報告信意思是209.85.220.65嘗試用您的Domain name寄信到Gmail,
經過 DKIM 及 SPF 檢驗, 在SPF檢驗沒有通過的所以顯示Fail,所以不通過,
這也是DMARC的宗旨 (安全的電子郵件,減少垃圾信件,防止偽冒)
並不是您的SPF設定錯誤喔, 也不是您要從 209.85.220.65 發送郵件..
千萬別把別人的IP加入您的 SPF list 中啊~~

另外建議您的SPF設定將 ~all 改為 -all

回應 3
分享
檢舉

Franky Chen iT邦研究生 3 級 ‧ 2020-05-22 14:23:52 檢舉

對，DMARC 設定是
v=DMARC1; p=none; rua=mailto:dmarc@example.com; ruf=mailto:dmarc@example.com; fo=1;

209.85.220.65這個是google的IP，因該是有人用gmail把example.com設成gmail 的alies用gmail發信造成的

目前會更改spf設定，謝謝您!

ks1217 iT邦研究生 1 級 ‧ 2020-05-22 18:08:03 檢舉

您好, 其實我在想這個問題, 假設駭客用Gmail for business, 被駭人也用Gmail for business, 那麼SPF驗證都是google IP, 是否導致SPF驗證破功(都通過), DKIM只要有取得過一次信件就能擷取到, 這樣能怎樣防護呢?

Franky Chen iT邦研究生 3 級 ‧ 2020-05-22 22:39:57 檢舉

好問題，下週一打去問看看

登入發表回應

Ray

iT邦大神 1 級 ‧ 2020-05-21 21:14:29

你為何會從這個 IP 對 Gmail 發信?

 <source_ip>209.85.220.65</source_ip>

improvmx 宣告的 SPF 只有以下 IP 才能合法發信:

spf4.improvmx.com       text = "v=spf1 ip4:51.91.128.110 ip4:51.91.128.125 ip4:51.91.67.147 ip4:51.91.72.73 ip4:51.255.220.160/27 ip4:91.134.148.0/27 ip4:5.39.55.160/27 ip4:51.77.22.128/27 -all"

你的 209.85.220.65 不在上述列表中, 而且 improvmx 設定的 qualifiers 是 -all, 也就是說: 不從上面 IP 發信的, 請一律拒絕收信 (Fail).

Google 是依照 improvmx 設定的 SPF 來拒絕你的.
在你自己的 spf 加一個 ip4:209.85.220.65 ~all 就可以了...