@tester12

Почему почтовые службы не обрабатывают DMARC?

Настроил DKIM, SPF, DMARC для защиты от фишинга/спуфинга:

@	TXT	v=spf1 redirect=nicmail.ru		
phpmailer._domainkey	TXT	v=DKIM1; k=rsa; t=s; p=<открытый ключ>
_dmarc	TXT	v=DMARC1; p=reject; sp=reject; rua=mailto:test.nic@mydomain.io; fo=1


DKIM и SPF работают. Яндекс-почта (веб-интерфейс) сообщает, что отправитель и подпись подтверждены.

Если же отправить (phpmailer-ом) письмо без подписи или подписанное не тем закрытым ключом, Яндекс показывает, что письмо не подписано. Но! У меня же в DMARC параметр "p=reject". Яндекс должен вообще отклонять не подписанные письма.

А Яндекс их принимает. И Mail.ru тоже принимает. Это глюки почтовых служб или это я что-то неправильно делаю?
  • Вопрос задан
  • 199 просмотров
Решения вопроса 1
McHaber
@McHaber
sysadmin
Политика "reject" применяется только к письмам которые не проходят проверку и SPF и DKIM.
То есть, DMARC= fail IF (SPF=fail AND DKIM=fail).

В случае (SPF=pass AND DKIM=pass) или (SPF=fail AND DKIM=pass) письмо считается "authenticated" (DMARC=pass) и, соответственно, не будет отклонено принимающим сервером.

Вот наиболее удачная диаграмма из всех которые я встречал:
5e1b4a4e73d71485021444.png

Единственное исключение - это почтовые сервисы от Microsoft (Hotmail / Outlook / Office365). Входящие письма которые попадают под политику "reject", не отклоняются а помещаются в папку "Junk".
Подробнее тут:
https://docs.microsoft.com/en-us/microsoft-365/sec...
Ответ написан
Пригласить эксперта
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы