Как разобраться в отчетах DMARC?

Есть домен axiomatica.ru, в качестве почтового сервера стоит Exchange, вся исходящая почта выходит через Edge, там подписываются DKIM все письма от этого домена и соответственно через двух провайдеров (IP выделены специально под почту) попадает в интернет. Оба эти IP адреса прописаны в SPF с параметром ~all. DMARC стоит следующий v=DMARC1; p=none; rua=mailto:ХХ; ruf=mailto:ХХ; fo=1
Стали приходить отчеты от разных почтовиков, и никак не могу разобраться в них, пробовал разные онлайн конверторы, но они вносят еще больше вопросов.
Вот несколько примеров от mail.ru:
<record>
 <row>
  <source_ip>91.224.14.137</source_ip>
  <count>6</count>
  <policy_evaluated>
   <disposition>none</disposition>
   <dkim>fail</dkim>
   <spf>pass</spf>
  </policy_evaluated>
 </row>
 <identifiers>
  <header_from>axiomatica.ru</header_from>
 </identifiers>
 <auth_results>
  <spf>
   <domain>axiomatica.ru</domain>
   <scope>mfrom</scope>
   <result>pass</result>
  </spf>
 </auth_results>
</record>

Source IP прописан в SPF - тут все понятно, однако DKIM fail - я так понимаю, это говорит о том, что письма все таки вышли не подписанными? Как их найти?
Следующая запись интереснее (так же от mail.ru):
<record>
 <row>
  <source_ip>5.255.227.237</source_ip>
  <count>1</count>
  <policy_evaluated>
   <disposition>none</disposition>
   <dkim>pass</dkim>
   <spf>fail</spf>
  </policy_evaluated>
 </row>
 <identifiers>
  <header_from>axiomatica.ru</header_from>
 </identifiers>
 <auth_results>
  <dkim>
   <domain>axiomatica.ru</domain>
   <selector>mail</selector>
   <result>pass</result>
  </dkim>
  <spf>
   <domain>veles-energo.ru</domain>
   <scope>mfrom</scope>
   <result>pass</result>
  </spf>
 </auth_results>
</record>

Сурс IP не мой - принадлежит яндексу. Судя по всему, мое письмо пришло на некий ящик veles-energo.ru (хостятся на яндексе) и там настроена пересылка на какой-то ящик в mail.ru? При этом с подписью DKIM все хорошо, но слетает SPF и если в DMARC поставить p=reject, то пересылаемое письмо не дойдет до mail.ru?

И последний вариант:
<record>
 <row>
 <source_ip>195.208.5.4</source_ip>
 <count>1</count>
 <policy_evaluated>
  <disposition>none</disposition>
  <dkim>fail</dkim>
  <spf>fail</spf>
 </policy_evaluated>
 </row>
 <identifiers>
  <header_from>axiomatica.ru</header_from>
 </identifiers>
 <auth_results>
  <spf>
   <domain>new-tex.ru</domain>
   <scope>mfrom</scope>
   <result>none</result>
  </spf>
 </auth_results>
 </record>

А это, вообще не понятно - IP не наш, подписи нет.
  • Вопрос задан
  • 8902 просмотра
Решения вопроса 1
Для отчетов можно использовать https://dmarcian.com/dmarc-xml/ - он покажет отчет в человекопонятной форме.

1. В первом примере - действительно отсутствует DKIM-подпись на письмах. Посмотрите, в каких случаях у вас может уходить письмо без подписи, как минимум это бывает на отчетах о невозможности доставки, но там scope в spf будет не mailfrom а helo. Это может быть какое-то письмо сформированное на самом сервере и прошедшее мимо обычных механизмах доставки, на которых вы накладываете DKIM-подпись (например, если вы накладываете DKIM на письмах от авторизованных пользователей SMTP, а это письмо сформировано локально).

2. Второй случай это редирект, он проходит DKIM-авторизацию, поэтому пройдет DMARC и будет принят даже при строгой политике. Для DMARC достаточно, чтобы адрес из From был авторизован любым из механизмов SPF или DKIM.

3. Третий случай - скорей всего спам с поддельного адреса.
Ответ написан
Пригласить эксперта
Ответы на вопрос 2
@GerasimH
также можете использовать https://easydmarc.com
Ответ написан
Комментировать
djonik1562
@djonik1562
Системный администратор
А можете помочь разобраться в отчетах dmarc? 2 дня назад настроил, получил отчеты. Просто не совсем пойму что за письма в отчетах.
https://dmarcian.com/dmarc-xml/details/P4TlA7mCbFe...
Спасибо заранее.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы