如果SPF过于严格,邮件列表是否会“中断”?

Modified on: Mon, 08 Jul 2019 05:00:02 +0800

我最近配置了自己的邮件服务器(基于Linux的postfix + dovecot方案)。这仅供个人使用 - 我没有发送大量邮件,没有自动生成的邮件从主机出站,没有这样的。我已经完成了配置所有其他有趣的调试电子邮件DNS记录的麻烦:

@                 IN  TXT  v=spf1 +mx -all
_domainkey        IN  TXT  o=-; r=dkim@example.com
mail._domainkey   IN  TXT  v=DKIM1; h=sha256; k=rsa; s=email; p=deadbeef
_adsp._domainkey  IN  TXT  dkim=all
_dmarc            IN  TXT  adkim=s; aspf=s; fo=1; p=none; pct=100; rf=afrf; ri=86400; rua=mailto:aggrep@example.com; ruf=mailto:authfail@example.com; sp=none; v=DMARC1;

我有一个不在任何黑名单上的IP,PTR正确配置,DKIM签名完美验证,我认为一切都设置正确。

但现在我无法为邮件列表做出贡献。当我发送到列表地址时,有时消息会进入黑洞,有时我会收到一封发送到我的authfail@地址的电子邮件,而在其他情况下,我会看到我认为与发送到的报告相关的条目aggrep@

我的理论是,SPF政策限制性太强。邮件(或其他)列表服务器充当我的邮件的SMTP中继,对吧?所以我改变了

@                 IN  TXT  v=spf1 +mx -all

@                 IN  TXT  v=spf1 +mx ~all

将默认操作设为softfail而不是hardfail。问题是,我不想在没有任何理由测试此更改的情况下查看垃圾邮件列表。有没有其他人来过这里,可以验证/反驳我的理论?


编辑1:

回想一下,感谢@Alex让我顺利完成,我真的没有提供足够的数据来做出准确的评估。以下是我在authfail@地址收到的通知的示例,当我尝试发布到邮件列表时:

This is a spf/dkim authentication-failure report for an email message received from IP 66.211.214.132 on Thu, 10 Jul 2014 20:58:52 +0800.
Below is some detail information about this message:
 1. SPF-authenticated Identifiers: archlinux.org;
 2. DKIM-authenticated Identifiers: none;
 3. DMARC Mechanism Check Result: Identifier non-aligned, DMARC mechanism check failures;

For more information please check Aggregate Reports or mail to abuse@126.com.



Feedback-Type: auth-failure
User-Agent: NtesDmarcReporter/1.0
Version: 1
Original-Mail-From: <arch-general-bounces@archlinux.org>
Arrival-Date: Thu, 10 Jul 2014 20:58:52 +0800
Source-IP: 66.211.214.132
Reported-Domain: example.com
Original-Envelope-Id: w8mowEA5UUwMjr5TlWQfBA--.250S2
Authentication-Results: 126.com; dkim=fail (signature error: RSA verify failed) header.d=example.com; spf=pass smtp.mailfrom=arch-general-bounces@archlinux.org
DKIM-Domain: example.com
Delivery-Result: delivered

在我看来这是一个DKIM签名失败,但我不明白为什么。接收服务器是否尝试针对邮件列表服务器的密钥验证我的 DKIM签名,反之亦然?出于某种原因,我不希望这种情况发生 - 我记得在某个地方读过像这样的Relays这样的情况有时会删除/ munge这样的标题以确保不会发生这些类型的失败?


编辑2:

感谢@Christopher Karel在dmarcian.com上引用DMARC报告解析工具。狮子会的条目份额被列为转发器(这是有道理的)。有一个服务器(* .mailhop.org)列为“preserv [ing] DKIM” - 我已经成功地通过一个有效的Ruby语言论坛发送邮件,我从研究中得知他们使用的是mailhop.org。

在“打破DKIM签名(或创建欺骗签名)的服务器”类别下列出*.archlinux.org*.google.com*.mailhop.org(不知道为什么会出现在这里,也许是我正在使用的另一个列表,在不同的配置中使用它们),以及我最活跃的列表是Arch和一些由Google网上论坛托管,这是有道理的。总共大约有400条消息 - 我没有发送过那么多消息,所以我猜它可能正在计算重试次数。

我感到很沮丧 - 目前似乎我的选择是:

  1. 保留SPF,DKIM,DMARC和ADSP并放弃使用邮件列表或
  2. 删除此DNS安全/报告层,让我的正常外发邮件被Google,Yahoo!,Live等拒绝
  3. 醇>

最佳答案

事实证明我的配置似乎没有任何问题。发生的事情是我的邮件正在被邮递员正确处理,并被转发到列表中。然而,有几个接收器(无论出于何种原因,它们是唯一的)拒绝该消息。因为我实际上正确配置了SPF,所以我看到来自那些目标SMTP服务器的拒绝消息,而不是来自邮件列表中继本身。

Arch社区中的一些很棒的人帮我追了这个,因为他们可以访问所说的ML服务器。


相关问答

添加新评论