Как разобраться в DMARC отчетах?

Question

Дмитрий Kartashov @Kartashoff

Как разобраться в DMARC отчетах?

Вот приходят отчеты от gmail

<record>
    <row>
      <source_ip><b>2a00:1450:400c:c09::231</b></source_ip>
      <count>1</count>
      <policy_evaluated>
        <disposition>none</disposition>
        <dkim>pass</dkim>
        <spf>fail</spf>
      </policy_evaluated>
    </row>
    <identifiers>
      <header_from>slap.com.ua</header_from>
    </identifiers>
    <auth_results>
      <dkim>
        <domain>slap.com.ua</domain>
        <result>pass</result>
      </dkim>
      <spf>
        <domain>rally.in.ua</domain>
        <result>pass</result>
      </spf>
    </auth_results>
  </record>

Запись в DNS v=DMARC1; aspf=s; sp=reject; rua=mailto:postmaster@slap.com.ua;

Вызывает интерес этот IP6: 2a00:1450:400c:c09::231
Это гугловский IP, что он делает в отчете?

И что делает домен rally.in.ua в отчете?)

Спасибо

Вопрос задан более трёх лет назад
2035 просмотров

Комментировать

Подписаться 2 Оценить Комментировать

Решения вопроса 1

15 комментариев

Дмитрий Kartashov @Kartashoff Автор вопроса

Спасибо. Актуально, но вот я что пытаюсь делать!? Мой SPF, ниже, там ip6 - это тоже сервер на котором сайт крутится.

v=spf1 a ip6:2a03:b0c0:3:d0::1a:7001/64 include:_spf.mail.ru include:amazonses.com include:mailgun.org mx ~all

Вот письма от amazone ses отображаться как fail. DKIM и SPF есть, как же исправить ситуацию, я так понимаю, fail - плохо.

Если я пропишу в DMARC - p=reject, рассылка моя свалиться в спам. Как-же тогда, ее делать, чтобы всегда pass был!?

Если у Вас будет время, можете глянуть DMARC? rghost.ru/6rmvfM28z

Написано более трёх лет назад
Владимир Дубровин @z3apa3a

Dmitriy Kartashov: кинь в личку заголовки письма со сфейлифшимся DMARC. В SPF неправильно как минимум
2a03:b0c0:3:d0::1a:7001/64 - неправильно задана сеть, адрес не является адресом сети /64, скорей всего должно быть 2a03:b0c0:3:d0::

Написано более трёх лет назад
Дмитрий Kartashov @Kartashoff Автор вопроса

а DNS указаны AAAA = 2a03:b0c0:3:d0::1a:7001, я так понял, по IP6 сайт доступен, следовательно, адрес его. А вот с заголовками сложнее, письма с amazon ses не доходят.

Написано более трёх лет назад
Владимир Дубровин @z3apa3a

2a03:b0c0:3:d0::1a:7001 это один адрес принадлежащий сети 2a03:b0c0:3:d0::/64. Надо либо указывать ip6:2a03:b0c0:3:d0::1a:7001 чтобы указать один адрес, либо 2a03:b0c0:3:d0::/64 чтобы указать всю сеть. ip6:2a03:b0c0:3:d0::1a:7001/64 - неправильно.

Если письма не доходят, то проблема не в spf и dmarc, т.к. при p=none они не влияют.

Написано более трёх лет назад
Дмитрий Kartashov @Kartashoff Автор вопроса

Поправил, спасибо, отправил серию тестовых, Из 4 / дошел в inbox (Яндекс)

Received: from mxfront3o.mail.yandex.net ([127.0.0.1])
by mxfront3o.mail.yandex.net with LMTP id 8zboy8C6
for ; Thu, 10 Dec 2015 19:04:33 +0300
Received: from a8-29.smtp-out.amazonses.com (a8-29.smtp-out.amazonses.com [54.240.8.29])
by mxfront3o.mail.yandex.net (nwsmtp/Yandex) with ESMTPS id 0OUUgVCoT1-4W8u9JHj;
Thu, 10 Dec 2015 19:04:32 +0300
(using TLSv1 with cipher ECDHE-RSA-AES128-SHA (128/128 bits))
(Client certificate not present)
Return-Path: 000001518ca2fe57-2bf97571-e00b-42ec-9556-ba6c9ac59e52-000000@amazonses.com
X-Yandex-Front: mxfront3o.mail.yandex.net
X-Yandex-TimeMark: 1449763472
Authentication-Results: mxfront3o.mail.yandex.net; spf=pass (mxfront3o.mail.yandex.net: domain of amazonses.com designates 54.240.8.29 as permitted sender) smtp.mail=000001518ca2fe57-2bf97571-e00b-42ec-9556-ba6c9ac59e52-000000@amazonses.com; dkim=pass header.i=@amazonses.com
X-Yandex-Spam: 1
DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/simple;
s=ug7nbtf4gccmlpwj322ax3p6ow6yfsug; d=amazonses.com; t=1449763471;
h=From:To:Subject:MIME-Version:Content-Type:Content-Transfer-Encoding:Date:Message-ID:Feedback-ID;
bh=Afm/S7SaxS19en1h955RwsupTF914DQUPqYU8Nh7kpw=;
b=rqcGSnxHSKyP1e04bl4RJnPViOCDeCJNJ7oxEysPgyHHucOpIyRoyoul2LzNy6PI
Nl++s1PG4tO0pJ9Ee6GPdOA8WpgPt6qrjxb9tfe65Ai9TB64+EjlV8GCJtuE1PWkxRy
cQYUyY8svQWw6arCLTBTCU5DCyV8dysxCtPOamos=
From: noreply@slap.com.ua
To: in-ua@ya.ru
Subject: 123
MIME-Version: 1.0
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: 7bit
Date: Thu, 10 Dec 2015 16:04:31 +0000
Message-ID: <000001518ca2fe57-2bf97571-e00b-42ec-9556-ba6c9ac59e52-000000@email.amazonses.com>
X-SES-Outgoing: 2015.12.10-54.240.8.29
Feedback-ID: 1.us-east-1.l1FDkLmNR7q/2HLpfa5r7mrOBZ/9Lltx+1PF3G0DJKw=:AmazonSES
X-Yandex-Forward: 535c0d9f0f75ba6746344ee6cbc366f1

Написано более трёх лет назад
Владимир Дубровин @z3apa3a

ip6:2a03:b0c0:3:d0::/64

Написано более трёх лет назад
Дмитрий Kartashov @Kartashoff Автор вопроса

z3apa3a: DO написал в инфе так

PUBLIC IPV6 ADDRESS: 2a03:b0c0:3:d0::1a:7001/64
PUBLIC IPV6 GATEWAY: 2a03:b0c0:3:d0::1

Написано более трёх лет назад
Дмитрий Kartashov @Kartashoff Автор вопроса

CONFIGURABLE ADDRESS RANGE:
2a03:b0c0:3:d0::1a:7000 - 2a03:b0c0:3:d0::1a:700f

Написано более трёх лет назад
Дмитрий Kartashov @Kartashoff Автор вопроса

в ipconfig

eth0: flags=4163 mtu 1500
inet 46.101.179.4 netmask 255.255.192.0 broadcast 46.101.191.255
inet6 2a03:b0c0:3:d0::1a:7001 prefixlen 64 scopeid 0x0
inet6 fe80::601:78ff:fec0:f01 prefixlen 64 scopeid 0x20
ether 04:01:78:c0:0f:01 txqueuelen 1000 (Ethernet)
RX packets 7113397 bytes 2902700088 (2.7 GiB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 7452139 bytes 8152404597 (7.5 GiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0

Написано более трёх лет назад
Владимир Дубровин @z3apa3a

2a03:b0c0:3:d0::1a:7001/64 - такая запись как раз означает что это адрес 2a03:b0c0:3:d0::1a:7001 принадлежащий сети с CIDR /64. Но указывать так в SPF нельзя, там указывается либо адрес, либо адрес сети.

По заголовкам этого письма: в From у вас адрес noreply@slap.com.ua, а в конверте 000001518ca2fe57-2bf97571-e00b-42ec-9556-ba6c9ac59e52-000000@amazonses.com, поэтому SPF будет проверяться не для вашего домена, а для домена amazonses.com, и SPF-DMARC фейлится, т.к. домен не соответствует домену из From.

в DKIM-записи тоже d=amazonses.com, это значит что DKIM проходит (для домена amazonses.com) но DMARC-DKIM тоже фейлится, т.к. домены не совпадают.

Поскольку сфейлились и DMARC-DKIM и DMARC-SPF - фейлится DMARC.

Вам надо разбираться, как добавить ваш ключ DKIM на amazonses.com чтобы дополнительно подписывать письма им + как сделать, чтобы для MAIL FROM использовались адреса вашего домена. У крупных ESP должна быть документация по этому поводу.

Написано более трёх лет назад
Владимир Дубровин @z3apa3a

Обычно принято (но не обязательно) для рассылок через ESP заводить отдельный домен (например notification.slap.com.ua), заводить MXы на сервера ESP, использовать его и в качестве адреса From и в качестве MAIL FROM, заводить для него DKIM, который прописывать у ESP.
Либо можно просто добавить отдельный селектор для DKIM в своем домене, но тогда если этот адрес использовать в MAIL FROM, ESP не будет получать NDRы и не сможет менеджерить список подписчиков.

Написано более трёх лет назад
Дмитрий Kartashov @Kartashoff Автор вопроса

z3apa3a: я так понимаю, вот так должно было быть?

Delivered-To: kartashoff@mail.ua
Return-path: <000001518dbe92fe-47cbfe3c-6271-42a7-9a6c-682b037c5d23-000000@amazonses.com>
Authentication-Results: mxs.mail.ru; spf=pass (mx196.i.mail.ru: domain of amazonses.com designates 54.240.8.35 as permitted sender) smtp.mailfrom=000001518dbe92fe-47cbfe3c-6271-42a7-9a6c-682b037c5d23-000000@amazonses.com smtp.helo=a8-35.smtp-out.amazonses.com;
dkim=pass header.i=slap.com.ua;
dkim=pass header.i=amazonses.com
Received-SPF: pass (mx196.i.mail.ru: domain of amazonses.com designates 54.240.8.35 as permitted sender) client-ip=54.240.8.35; envelope-from=000001518dbe92fe-47cbfe3c-6271-42a7-9a6c-682b037c5d23-000000@amazonses.com; helo=a8-35.smtp-out.amazonses.com;
Received: from a8-35.smtp-out.amazonses.com ([54.240.8.35]:34314)
by mx196.i.mail.ru with esmtp (envelope-from <000001518dbe92fe-47cbfe3c-6271-42a7-9a6c-682b037c5d23-000000@amazonses.com>)
id 1a78XZ-0000tY-WB
for kartashoff@mail.ua; Fri, 11 Dec 2015 00:14:19 +0300
X-Mru-BL: 0:0
X-Mru-TLS: TLSv1:AES128-SHA
X-Mru-BadRcptsCount: 0
X-Mru-PTR: a8-35.smtp-out.amazonses.com
X-Mru-NR: 1
X-Mru-OF: Linux (Ethernet or modem)
X-Mru-RC: US
DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/simple;
s=jsytkbt5owc2hfusnlefooxj54yz6zyb; d=slap.com.ua; t=1449782055;
h=From:To:Subject:MIME-Version:Content-Type:Content-Transfer-Encoding:Date:Message-ID;
bh=Afm/S7SaxS19en1h955RwsupTF914DQUPqYU8Nh7kpw=;
b=YtzzhEi+lsGJHi/eLf3W/HZJjP18nVZE4lNBlV5Y3F2df4TAV9D3vW3lzOEsoNgG
Q1cPgAWr9yT13MTNzu7fbI42dVCmdeFIUSh38/vsFxvKGbAarpV+tbcEZNSbb428+Uj
Of3s7fO4TSqtkzLZc7gzEgKOXNsJlVRVQ5a5hKhg=
DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/simple;
s=ug7nbtf4gccmlpwj322ax3p6ow6yfsug; d=amazonses.com; t=1449782055;
h=From:To:Subject:MIME-Version:Content-Type:Content-Transfer-Encoding:Date:Message-ID:Feedback-ID;
bh=Afm/S7SaxS19en1h955RwsupTF914DQUPqYU8Nh7kpw=;
b=dujcHw2tJnGqQc8IhFYea+LhRVeA+UUFxlXUVcoQOfuly2q44kyBRQ/r/N+hTENh
ncbTS5ph1ZbtzeK1aF3UWGyFbMXwFH2doQxo8uzwjCRx3VUpWbjtH0iDY/VZL5JZKfR
XHZdlFGLHULhRoWK8RzoWz25KsEnF3k4BhoN6o2k=
From: noreply@slap.com.ua
To: kartashoff@mail.ua
Subject: 123
MIME-Version: 1.0
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: 7bit
Date: Thu, 10 Dec 2015 21:14:15 +0000
Message-ID: <000001518dbe92fe-47cbfe3c-6271-42a7-9a6c-682b037c5d23-000000@email.amazonses.com>
X-SES-Outgoing: 2015.12.10-54.240.8.35
Feedback-ID: 1.us-east-1.l1FDkLmNR7q/2HLpfa5r7mrOBZ/9Lltx+1PF3G0DJKw=:AmazonSES
X-DMARC-Policy: reject
X-DMARC-Result: pass
X-Mras: Ok
X-Mru-Authenticated-Sender: 000001518dbe92fe-47cbfe3c-6271-42a7-9a6c-682b037c5d23-000000@amazonses.com
X-Spam: undefined

Написано более трёх лет назад
Владимир Дубровин @z3apa3a

Да, теперь проходит DKIM с правильным align'ом домена, поэтому проходит DMARC и письмо принимается.
SPF все еще фейлится, т.к. в конверте все еще адрес отправителя из amazonses.com, в идеале это тоже надо пофиксить, но по большому счету ни на что влиять не будет, это было бы критично для писем, которые проблематично подписать DKIM'ом, например отчетов о доставке.

Кстати политика у вас-таки reject, потому и не ходило.

Написано более трёх лет назад
Владимир Дубровин @z3apa3a

DMARC-SPF фейлится то есть. SPF проходит, но для домена amazonses.com, а не вашего.

Написано более трёх лет назад
Дмитрий Kartashov @Kartashoff Автор вопроса

Сейчас работает отлично. Мой низкий поклон за Ваше терпение и желание помочь.

Написано более трёх лет назад

Пригласить эксперта

Ответы на вопрос 2

Комментировать

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации

Похожие вопросы

Электронная почта

Простой
Как сделать правильно систему тикетов на сайте?
- 1 подписчик
- вчера
- 44 просмотра
1

ответ
Электронная почта

+2 ещё

Простой
Организовать хранение почты на своем сервере?
- 1 подписчик
- 16 апр.
- 84 просмотра
2

ответа
Электронная почта

Простой
Как перенаправить почту на другой mail server?
- 2 подписчика
- 14 апр.
- 78 просмотров
1

ответ
Gmail

+1 ещё

Простой
Как сделать, чтобы мейлы с gmail форвардились в вотсап?
- 2 подписчика
- 12 апр.
- 184 просмотра
2

ответа
ASP.NET

+2 ещё

Сложный
Как отправить html шаблон с svg на gmail через aws?
- 5 подписчиков
- 11 апр.
- 3077 просмотров
1

ответ
Электронная почта

+2 ещё

Средний
Не правильный сервер при добавлении почты в почтовики, как исправить?
- 1 подписчик
- 10 апр.
- 40 просмотров
1

ответ
Программное обеспечение и интернет-сервисы

+1 ещё

Простой
Как удалить отправленные письма на которые не пришел ответ?
- 1 подписчик
- 08 апр.
- 70 просмотров
1

ответ
Электронная почта

+2 ещё

Средний
Не приходят уведомления на gmail.com с моего домена (Вероятная проблема PTR записи)?
- 1 подписчик
- 04 апр.
- 104 просмотра
2

ответа
Gmail

Средний
Как восстановить удаленные сообщения в Gmail?
- 1 подписчик
- 27 мар.
- 71 просмотр
2

ответа
Python

+3 ещё

Простой
Авторег mail.ru поможете с выбором из выпадающего списка?
- 1 подписчик
- 27 мар.
- 141 просмотр
2

ответа
Показать ещё Загружается…

Менеджер по маркетингу (B2B, IT)

Даминион

от 90 000 до 120 000 ₽

Менеджер по контенту / Копирайтер в сфере трейдинга

Finandy

от 90 000 ₽

Интернет-маркетолог в IT-компанию (собственный маркетинг)

ИНТЕРВОЛГА • Волгоград

от 80 000 до 120 000 ₽

Аспро Максимум не отображаются картинки из Фотогалереи

18 апр. 2024, в 10:53

500 руб./за проект

Gulp, handlebarsjs - изменение темы сайта на ghost cms

18 апр. 2024, в 10:31

8000 руб./за проект

Symfony, Vue - Сервис автоматизации бизнеса натяжных потолков

18 апр. 2024, в 10:29

700 руб./в час

Answer 1 · 2015-12-10 17:16:38

Если еще актуально -
2a00:1450:400c:c09::231 - IP с которого пришло письмо
В заголовке From: стоял домен slap.com.ua, поэтому DMARC проверялся для него. Письмо было подписано DKIM домена slap.com.ua, поэтому письмо DKIM аутентификация прошла, т.е. DMARC тоже прошел.
Однако, в SMTP-конверте (SMTP MAIL FROM:) стоял домен rally.in.ua, поэтому SPF для письма не прошел, т.к. нет align'а идентификаторов.

Скорее всего, у получателя с адресом в домене Rally.in.ua который хостится GMail'ом стоит перенаправление почты на ящик в вашем домене @slap.com.ua. При перенаправлении GMail меняет адрес отправителя в конверте, но не меняет в заголовах. Письмо от вашего пользователя пошло на GMail и оттуда было перенаправлено обратно вам. Поэтому DMARC-SPF на нем сфейлился и DMARC-DKIM прошел - это ожидаемая ситуация.

Answer 2 · 2015-11-18 22:50:55

evnux @evnux

блекджек и одалиски

XML2Human

Ответ написан более трёх лет назад

Комментировать

Answer 3 · 2019-04-26 08:19:08

Kev @Kev

https://mxtoolbox.com/DMARCRecordGenerator.aspx

Ответ написан более трёх лет назад

Комментировать

Как разобраться в DMARC отчетах?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт