Я протестировал то что описано в последнем коментарии, и убедился в истинности утверждения -
"It appears that DKIM signatures are added for all primary and alias domains as long as the account username or one of their aliases is matching."
Действительно, письма отправленые с алиас-домена подписываются DKIM ключом алиас-домена только в случае если алиас-имейл отправителя присутствует списке алиас-имейлов учетной записи акаунта, картинка прилагается
если имейл алиаса нет в списке, то письма не подписываются
kolomietsv, у меня тоже на G Suite есть основной домен и 3 алиаса.
Когда посылeте с адреса алиаса аутентикация должна быть такая (если DKIM подпись для алиас домена активирована)
mailed-by: main domain
signed-by: alias domain
можете посмотреть на "message source" ?
домен в поле "Return-Path" - example.com ?
а домен в поле "From" - need.com ?
2. отправлать от вашего имени (domain name in HEADER FROM) может любой, но domain name in MAIL FROM (aka RETURN-PATH) у них будет свой а не ваш. И тут на помощь приходит DMARC.
- SPF проверяет домен указаный в RETURN-PATH.
- DMARC проверяет идентичны ли домены (domain alignment) указаные в HEADER FROM и RETURN-PATH
если SPF (для RETURN-PATH) = pass И домeны в HEADER FROM и RETURN-PATH идентичны (aligned) то DMARC=pass
если SPF (для RETURN-PATH) = pass И домeны в HEADER FROM и RETURN-PATH НЕидентичны (not aligned) то DMARC=fail
на желтой диаграме все это хорошо показано
3. для защиты домена от почтового спуфинга нужны:
- коррекнтная SPF запись
- DMARC запись с политикой "reject"
- очень желательна DKIM подпись (так как в случае авто-пересылки письма проверка SPF нарушается)
- платформа для анализа DMARC отчетов. Например EasyDMARC
Евгений Сердюков, легче будет разобратся в отчетах если отпралять / загружать их в специализированые облачные системы, обрабатывающие XML файлы и показывающие их в удобоваримом виде.
можете попробовать EasyDMARC, и получите данные в следующем виде, смотрите картинки ниже:
Но возможно что есть такое ограничение
У кого-то такая же проблема (это не вы ? :))->
https://support.google.com/a/thread/57559772?hl=en
еще я нашел такой пост (интересен последний коментарий)
https://support.google.com/a/thread/55847497?hl=en...
Я протестировал то что описано в последнем коментарии, и убедился в истинности утверждения -
"It appears that DKIM signatures are added for all primary and alias domains as long as the account username or one of their aliases is matching."
Действительно, письма отправленые с алиас-домена подписываются DKIM ключом алиас-домена только в случае если алиас-имейл отправителя присутствует списке алиас-имейлов учетной записи акаунта, картинка прилагается
если имейл алиаса нет в списке, то письма не подписываются
Протестировано в версии "G Suite Basic"