DKIM отсутствует, а SPF неверный, но Gmail не отклоняет электронное письмо.

Вопрос или проблема

Я отправил это письмо, используя [email protected] в качестве адреса FROM с помощью zoho mail.

SPF: "v=spf1 include:spf.mailjet.com include:_spf.google.com include:sender.zohoinvoice.com -all".

DMARC: "v=DMARC1; p=reject; fo=1; pct=100; ri=86400; ruf=mailto:[email protected]; rua=mailto:[email protected],mailto:[email protected];"

Обе записи не упоминают zohomail.com. Примечание: zohoinvoice.com это не то же самое, что zohomail.com

Однако, это письмо поступило в Gmail во входящие и не было отклонено (p=reject).

Почему?

Ваша SPF запись включает запись sender.zohoinvoice.com. Это, в свою очередь, включает zeptomail.net и это перечисляет ip4:136.143.188.0/24 как разрешенного отправителя, следовательно, SPF правильно проходит.

DKIM не упоминается. Но ARC-Seal упоминается и, видимо, тоже прошел. Я не комментирую, как это работает – я не знаю, но это прошло в Gmail.

Ответ или решение

Проблема, связанная с доставкой электронной почты, когда DKIM отсутствует, а SPF настроен некорректно, но Gmail не отвергает письмо, вызывает много вопросов. Чтобы более глубоко разобраться в ситуации, давайте подробно рассмотрим, как работают эти механизмы, и почему в данном случае письмо оказалось доставлено в папку "Входящие" Gmail.

Теория (Theory)

DKIM (DomainKeys Identified Mail) и SPF (Sender Policy Framework) являются двумя основными механизмами для подтверждения подлинности электронной почты, которые используются для защиты доменов от спама и фишинга.

SPF позволяет владельцам доменов публиковать записи в DNS, указывающие, какие IP-адреса имеют право отправлять письма от имени их домена. При получении письма принимающий сервер проверяет SPF-запись в DNS отправителя, чтобы убедиться, что письмо действительно пришло с разрешенного IP-адреса. Если IP-адрес не входит в указанный диапазон, проверка SPF считается проваленной.

DKIM, в свою очередь, позволяет отправителю подписывать письма цифровой подписью. Получатель может использовать открытый ключ отправителя, для проверки подписи и заверения в том, что письмо не было изменено в процессе передачи.

Пример (Example)

В данной ситуации DKIM отсутствует, а SPF был на первый взгляд настроен неправильно, несмотря на это письмо было успешно доставлено. Ваша SPF-запись: "v=spf1 include:spf.mailjet.com include:_spf.google.com include:sender.zohoinvoice.com -all" не содержит явного указания для zohomail.com, однако включает в себя sender.zohoinvoice.com. Эта SPF-запись в свою очередь ссылается на zeptomail.net, который разрешает IP-адреса из диапазона ip4:136.143.188.0/24 для отправки. Если письмо отправлено из IP-адреса, входящего в данный диапазон, то проверка SPF может быть успешно пройдена.

Что касается DKIM, отсутствие этой записи на сервере отправителя не всегда приводит к отклонению письма, однако нарушает целостность процесса аутентификации. В вашем случае работает ARC (Authenticated Received Chain) от Gmail. Gmail может использовать ARC для облегчения оценки доверия к сообщению, даже если DKIM и SPF могли не пройти проверку, но оказалось, что доверие арбитража сетевого пути (ARC) успешно прошло. Это произошло благодаря другому получателю, который ранее принял и подтвердил это сообщение, добавив свою печать ARC.

Применение (Application)

Теперь, участвуя в процессе настройки и упрочнения безопасности отправляемой почты, крайне важно обратить внимание на следующее:

Обновите DKIM: Включение подписи DKIM критически важно для сохранения целостности ваших электронных писем. Поскольку DKIM предоставляет дополнительный уровень доверия для получателя, это снижает вероятность того, что письмо будет помечено как спам.
Актуализируйте SPF-записи: Убедитесь, что ваши SPF-записи актуальны и соответствуют всем IP-адресам и доменам, которые должны иметь право на отправку электронной почты от вашего имени. Если возникло недоразумение в интеграции с различными поставщиками, такими как Zoho, зондируя все возможности прокси и другие учетные записи, следует выполнить перепроверку всех путей передачи.
Используйте DMARC: Поскольку DMARC предоставляет общие инструкции для обработки неудачно прошедших проверки SPF и DKIM, его политика должна точно отражать принципы вашего домена, такие как p=reject. Однако в случае с Gmail, как это было в вашем случае, стоит учитывать, что фактическая политика может быть прагматично обработана в рамках интерпретации безопасности ARC. Тем не менее, настройте DMARC-отчеты, чтобы получать уведомления о неудачных проверках и проявлять активность в адаптации к изменяющимся условиям.
Интеграция с ARC: Ознакомьтесь с арбитражными сетевыми сертификатами (ARC), чтобы глубже понимать, как почтовые серверы такие как Gmail, оценивают и взаимодействуют с вашими сообщениями. Это особенно полезно в контексте, когда почтовые фильтры разработаны для подробного анализа между доменами в настоящее время динамично меняющемся мире интернет-коммуникаций.

Совмещение всех этих методов аутентификации и понимание, как их наилучшим образом интегрировать, не только улучшит доставляемость ваших писем, но и повысит вашу защиту от нежелательной почты и других форм злоупотреблений в почтовых системах.