Por que meu email está falhando no teste DKIM do Gmail?

10

Tenho uma mensagem que foi rejeitada pelo Gmail, não sei por quê. Passa no SPF. Não estamos usando DKIM. Preciso configurar o DKIM?

Eu estou no controle de "example.com". Nosso servidor de correio é "server.example.com" (hospedado em bluehost)

Nosso registro SPF é

v=spf1 +a +mx ?include:bluehost.com -all

No entanto, o Gmail rejeitou uma mensagem com:

550-5.7.1 O email não autenticado de example.com não é aceito devido à política DMARC do domínio 550-5.7.1. Entre em contato com o administrador do example.com ...

Os cabeçalhos da mensagem:

Return-path: <[email protected]>
Received: from [99.127.228.246] (port=61813 helo=[192.168.1.66])
    by server.example.com with esmtpsa (TLSv1:AES128-SHA:128)
    (Exim 4.80.1)
    (envelope-from <[email protected]>)
    id 1VMLM8-0007ok-5c; Wed, 18 Sep 2013 17:16:03 +0000
From: Sabrina <[email protected]>
Content-Type: multipart/alternative; boundary="Apple-Mail=_2FE0763D-B160-49C4-8202-B8258851AFAD"
Subject: positive self thoughts/talk 
Date: Wed, 18 Sep 2013 10:15:24 -0700
Message-Id: <[email protected]>
To: Tanja Schulte-Irwin <[email protected]>,
Zachary Bloom <[email protected]>
Mime-Version: 1.0 (Apple Message framework v1278)
X-Mailer: Apple Mail (2.1278)
gmail spf dkim dmarc nielsbot
fonte

Respostas:

12

Seu registro SPF não está afetando isso.

Pelo que parece, você tem um registro DMARC configurado e não está assinando e-mails enviados com o DKIM. Para solucionar o problema, assine o correio enviado ou remova a política DMARC.

O registro DMARC é um registro TXT como o registro SPF, mas é _dmarc.example.netonde o example.net é o seu domínio. Se você acha que possui um ou não deseja removê-lo, altere para v=DMARC1; p=nonepara anulá-lo.

Como alternativa, como você está usando o SPF, vejo que você pode não querer fazer isso. Nesse caso, deixe seu registro _dmarc como está, mas você terá que se livrar ou alterar seu registro _domainkeys.

DKIM especifica que, para um domínio example.net, o registro DKIM será consultado IN TXT _domainkeys.example.net. Você deve encontrar esse registro e removê-lo ou adicionar o t=ysinalizador para especificar que (enquanto você está testando ostensivamente o DKIM) os resultados da verificação do DKIM devem ser ignorados. Além disso, verifique se o seu registro _dmarc não contém a tag adkim e, principalmente, não adkim=s.

Falcon Momot
fonte
Para esclarecer - DMARC requer DKIM? Ativei o DMARC porque queria que as rejeições de SPF não fossem devolvidas a mim.
Nielsbot
1
Não acho que o DMARC exija DKIM, mas se você tem DMARC e DKIM, eles certamente podem interagir. Você pode configurar o DKIM e não usá-lo especificando o modo de teste, embora, na verdade, apenas configure o DKIM. Seria legal se você postou os registros _dmarc e _domainkeys no seu domínio também para a pergunta.
Falcon Momot,
Obrigado. Se o DMARC não requer DKIM, por que minha mensagem seria rejeitada? Passa no SPF. Não preciso modificar a configuração do meu servidor de email? Não tenho certeza se posso com o VPS bluehost. Vou postar o registro DMARC quando chegar em casa.
Nielsbot 19/09/2013
3
A política DMARC é o que diz para rejeitar ou spambin as mensagens. A validação DKIM é separada.
Falcon Momot,
6

Seus dados são ofuscados, o que dificulta a ajuda. Eu vejo vários problemas:

  • Se você não ofuscou seu endereço IP, o DNS passa na validação do rDNS, mas parece muito com um spambot. Tente obter a configuração server.example.com como o PTR do seu endereço e adicione server.example.com ao seu DNS. A configuração do registro PTR requer o suporte do seu provedor de endereços IP (geralmente o seu ISP). Você precisa de um endereço IP fixo para isso.
  • Seu servidor parece não saber quem é. Ele deve fornecer server.example.com como seu nome na solicitação HELO ou ELHO.
  • Seu e-mail não está assinado pelo DKIM. O DMARC não requer DKIM, mas sua política deve corresponder à sua prática.

Tente enviar um email para [email protected] (que não está mais em serviço) para ver como seu servidor está configurado. Outras opções estão listadas no meu artigo sobre Detectando falsificação de servidor de email .

BillThor
fonte
Haha Eu devia ter mudado os IPs também :)
nielsbot
1
Não, você não deveria. Isso dificulta muito a solução de problemas (e não realiza absolutamente nada).
gparent 19/09/13
[email protected] parece não funcionar mais, infelizmente. (apenas uma observação para futuros visitantes)
Delphinator 25/09
3

Se o seu domínio não tiver o DKIM definido, você definitivamente não precisará da configuração do DKIM. Sua ausência não faria com que o GMail jogasse seu email para o SPAM. Sua presença pode aumentar sua classificação de SPAM, para que não seja rejeitada.

Para verificar seu SPF, você precisa nos informar seu domínio e endereços IP do seu servidor SMTP. Ou você pode usar as ferramentas de verificação on-line em http://www.openspf.org/ .

Para entender o DMARC, verifique o seguinte: http://support.google.com/a/bin/answer.py?hl=pt_PT&answer=2466580 .

Aleš Krajník
fonte