SPF и DKIM проходят, а DMARC нет. Как решить?

Question

[kolomietsv]

Я пытаюсь отправлять электронные письма Gmail с разных доменных имен, используя одну учетную запись электронной почты, и получаю dmarc = fail
Например, у меня есть:
example.com (домен организации, на которую создана учетка с ящиками);
need.com (дополнительный домен, который добавлен как псевдоним, их может быть много).

Я хочу дать пользователям возможность отправлять электронные письма как @need.com, используя псевдоним в настройках учетных записей.

Проблема в том, что все сообщения попадают в спам с политиками DMARC.

Authentication-Results: mx.google.com;
dkim=pass header.i=@need-com.20150623.gappssmtp.com header.s=20150623 header.b="y0qDXN/D";
spf=pass (google.com: domain of mailtest@example.com designates 209.85.220.41 as permitted sender)
smtp.mailfrom=mailtest@example.com;
dmarc=fail (p=QUARANTINE sp=QUARANTINE dis=QUARANTINE) header.from=need.com

Необходимо настроить так, чтобы с карантинной политикой DMARC все работало корректно. Возможно ли это? Может у кого-то есть практическое решение этой проблемы?
Предположительно проблема в разнице хедеров.
Заранее спасибо за любую помощь.

Answer 1

[Владимир]

В поле "From:" (RFC5322:From field) в исходящих письмах отправитель с вашим доменом? так как dmarc выполняет проверки по домену из этого поля.

Comments

[kolomietsv]

В поле From домен need.com, который добавлен к учетке основного домена example.com, изначяльно на который была приобретена подписка на организацию. И сейчяс когда я создаю ящик mailtest@example.com и в его настройках(вкладка аккаунты) выбираю Отправлять письма как: mailtest@need.com письма попадают в спам при политиках dmarc. И получателю они приходят как mailtest@need.com, но dmarc не проходит как я понимаю из за разници хедеров, каким то образом все же там участвует основной домен example.com. Не могу разобраться как правильно настроить)

Answer 2

[Владимир Дубровин]

У вас во From домен need.com, при этом в SPF (SMTP-конверт) адрес example.com а в DKIM домен need-com.20150623.gappssmtp.com. Чтобы прошел DMARC, SPF или DKIM должны быть от того же домена, который используется во From с точностью до домена организации. Настройте DKIM для своего домена, сейчас у вас есть только дефолтная псевдо-подпись гугла и используйте в SMTP-конверте (MAIL FROM) адрес из того же домена, который используется во From.

Comments

[kolomietsv]

Подскажите, пожалуйста, что нужно сделать. Впервые с этим столкнулся.
Сейчас для домена need.com сформированный DKIM и добавленна соответствующая dns запись, в Google Workspace включенная аутентификация. Мои DMARC и SPF выглядят так:
v=DMARC1; p=quarantine;
v=spf1 include:_spf.google.com ~all

[Владимир Дубровин]

Начинте с SMTP конверта, посмотрите почему у вас сейчас в SMTP-конверте не need.com а другой домен

[kolomietsv]

Владимир Дубровин, О каком SMTP конвертере вы говорите? Можете сбросить примеры, пожалуйста?

[Владимир Дубровин]

kolomietsv, https://ru.wikipedia.org/wiki/%D0%AD%D0%BB%D0%B5%D...
в MAIL FROM у вас сейчас адрес из другого домена, поэтому SPF не проходит для DMARC, хотя и валиден. По той же причине может не проходить и DKIM, если DKIM подпись выбирается по домену конверта.

[kolomietsv]

Владимир Дубровин,
Акаунт с проблемой

[Владимир Дубровин]

Ну вот проблема в том, что письмо у вас как раз и уходит с mailtest@example.com в SMTP конверте вместо вашего домена

[kolomietsv]

Владимир Дубровин, Вопрос в том как её решить)))

[Alexander NAZARIAN]

Вы активировали DKIM аутентикацию в G Suite (по ссылке Владимира) для FROM домена/ов ?

Проверьте также опубликованную DNS запись публичного DKIM ключа FROM домена ->
https://easydmarc.com/tools/dkim-lookup

[kolomietsv]

Alexander NAZARIAN, Да, DKIM активирована и соответствующие dns записи так же созданы, проверку прошли.

[Alexander NAZARIAN]

kolomietsv, то есть проблему решили, DMARC уже проходит ?

[kolomietsv]

Alexander NAZARIAN, Нет) dns запись с DKIM есть, но почемуто в header.i=@need-com.20150623.gappssmtp.com гугл подставляет свою запись

[Владимир Дубровин]

Так а как у вас example.com появился вы выяснили?

[kolomietsv]

example.com это основной домен подписки
к которому подвязаны псевдоними. В настройках аутентификации DKIM на need-com псевдоним включил, там же есть остальные домены-псевдонимы.
Может это поможет понять куда копнуть.

[Alexander NAZARIAN]

kolomietsv, у меня тоже на G Suite есть основной домен и 3 алиаса.
Когда посылeте с адреса алиаса аутентикация должна быть такая (если DKIM подпись для алиас домена активирована)
mailed-by: main domain
signed-by: alias domain


можете посмотреть на "message source" ?
домен в поле "Return-Path" - example.com ?
а домен в поле "From" - need.com ?

[kolomietsv]

Alexander NAZARIAN, Return-Path - основной домен example.com, а header.from - need.com тот что возле dmarc. А вот signed-by - need-com.20150623.gappssmtp.com , что в DKIM. Получаеться что DKIM алиаса не работает, при чем я его активировал как показывал на скрине и онлайн чекеры подтверждают что днс записи есть. Выходит в этом причина, но где проблема не пойму.

[Alexander NAZARIAN]

kolomietsv, к сожалению нет в распоряжении "Legacy free edition of G Suite" чтобы протестировать.
Но возможно что есть такое ограничение
У кого-то такая же проблема (это не вы ? :))->
https://support.google.com/a/thread/57559772?hl=en

еще я нашел такой пост (интересен последний коментарий)
https://support.google.com/a/thread/55847497?hl=en...

Я протестировал то что описано в последнем коментарии, и убедился в истинности утверждения -
"It appears that DKIM signatures are added for all primary and alias domains as long as the account username or one of their aliases is matching."

Действительно, письма отправленые с алиас-домена подписываются DKIM ключом алиас-домена только в случае если алиас-имейл отправителя присутствует списке алиас-имейлов учетной записи акаунта, картинка прилагается


если имейл алиаса нет в списке, то письма не подписываются

Протестировано в версии "G Suite Basic"

[kolomietsv]

Alexander NAZARIAN, У кого-то такая же проблема (это не вы ? :))-> - Нет, там не я)
Да, я использую алиас-емейл из доступного списка в админке и при добавлении на аккаунт емейл подтверждение не нужно. Все равно письмо не подписывается алиас доменом. Уже проверил многими инструментами, dkim виден и активирован в админке, но проставляется *gappssmtp.com .
Не может ли быть ето связанно с тем что аккаут бесплатный(древний, где еще можно было получить 2 тысячи емейл адресов)? Я уже завел другой(платный) аккаунт для теста, где проделал аналогичные настройки, добавил основной домен и алиас домен, так же с ящиком, и все заработало. Свизался с тех-поддержой(на платном аккаунта она есть), все обьяснил. Там говорят что видят dkim, но ничем не могут помочь так как обращяюсь с другого аккаунта)))