Os emails enviados passam no SPF e no DKIM, mas falham no DMARC quando recebidos pelo Gmail

13

O Gmail está marcando minhas mensagens de email como spam. As mensagens passam no SPF e no DKIM, mas falham no DMARC. Existe alguma maneira de fazer minhas mensagens passarem para DMARC?

Recentemente, me inscrevi na hospedagem WordPress no Flywheel, que usa o Mandrill para email transacional. Meu site possui vários formulários que enviam notificações por email quando são enviadas.

Estou anexando a fonte bruta de uma mensagem de exemplo:

Delivered-To: [email protected]
Received: by 10.36.109.5 with SMTP id m5csp1332570itc;
        Sun, 1 Feb 2015 23:03:34 -0800 (PST)
X-Received: by 10.236.2.6 with SMTP id 6mr7036797yhe.179.1422860614601;
        Sun, 01 Feb 2015 23:03:34 -0800 (PST)
Return-Path: <bounce-md_30068542.54cf2145.v1-57b0f565d61f4314ae4398e41d1cf6f7@mandrillapp.com>
Received: from mail128-15.atl41.mandrillapp.com (mail128-15.atl41.mandrillapp.com. [198.2.128.15])
        by mx.google.com with ESMTPS id g67si3643342yhd.195.2015.02.01.23.03.34
        for <[email protected]>
        (version=TLSv1.2 cipher=ECDHE-RSA-AES128-GCM-SHA256 bits=128/128);
        Sun, 01 Feb 2015 23:03:34 -0800 (PST)
Received-SPF: pass (google.com: domain of bounce-md_30068542.54cf2145.v1-57b0f565d61f4314ae4398e41d1cf6f7@mandrillapp.com designates 198.2.128.15 as permitted sender) client-ip=198.2.128.15;
Authentication-Results: mx.google.com;
       spf=pass (google.com: domain of bounce-md_30068542.54cf2145.v1-57b0f565d61f4314ae4398e41d1cf6f7@mandrillapp.com designates 198.2.128.15 as permitted sender) smtp.mail=bounce-md_30068542.54cf2145.v1-57b0f565d61f4314ae4398e41d1cf6f7@mandrillapp.com;
       dkim=pass [email protected];
       dmarc=fail (p=QUARANTINE dis=QUARANTINE) header.from=seesawsf.com
DKIM-Signature: v=1; a=rsa-sha1; c=relaxed/relaxed; s=mandrill; d=mail128-15.atl41.mandrillapp.com;
 h=From:Sender:Subject:To:Message-Id:Date:MIME-Version:Content-Type; [email protected];
 bh=Jt6YNkQAh5eG3xb1p6nYqPNm8rQ=;
 b=HwSrIhBVCHMWd2/PMVTb49MJ/nrtEXVsIbV5wIzMyVNPiaCzmI5t5JkPM+E00Ug6CziUbTgUGM2o
   M/2W3jq43+EYjXGmVatW1Q3GcnErPc14WQr3b0FtCJFeTxVKR3wublilVvWyA9oRtTqsgyWc0Mlj
   0LrqrPb6UXTPre52Fog=
DomainKey-Signature: a=rsa-sha1; c=nofws; q=dns; s=mandrill; d=mail128-15.atl41.mandrillapp.com;
 b=qx6ydLL6hfTwC7h8XIW5C6jwtBHZ2R/5g8cCE60yXMxhLbH+fD5fc4kLXYNR6Ok5qlwvMKkG/aU5
   2/AQkTHLHxsq7fmVBpDFnxI1R2T1vBkYZ6StFnkhQp1tHUTfGrj+5j5K8+msc+qiIktNRSeL12JD
   egxGpd+2goJerCPfGsQ=;
Received: from pmta04.atl01.mandrillapp.com (127.0.0.1) by mail128-15.atl41.mandrillapp.com id hpsgkc1mqukr for <[email protected]>; Mon, 2 Feb 2015 07:03:34 +0000 (envelope-from <bounce-md_30068542.54cf2145.v1-57b0f565d61f4314ae4398e41d1cf6f7@mandrillapp.com>)
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=mandrillapp.com; 
 [email protected]; q=dns/txt; s=mandrill; t=1422860613; h=From : 
 Sender : Subject : To : Message-Id : Date : MIME-Version : Content-Type 
 : From : Subject : Date : X-Mandrill-User : List-Unsubscribe; 
 bh=3BX+Ypp8U/OwrT6jZiEJ7HZzbu5vXIAOTBSMt9pdT/c=; 
 b=D4qNdklkpV8zM74TZFQ8CkUy8N3zJesDWFWnNN6qAZ4eqW3WTCjg0W7Sooks5h+IiqC55Z
 2DbpzSC1GuNMDFbmxzUTeWXyA1QU/TpDrpHnd9D9qDLiflNTmWcrwKlT6U8Bp00d+itgq9bv
 ZhmZZ2+vY3fe3rFHv26UKwvdusFmg=
From: seesaw registration <[email protected]>
Sender: seesaw registration <[email protected]>
Subject: [removed]
Return-Path: <bounce-md_30068542.54cf2145.v1-57b0f565d61f4314ae4398e41d1cf6f7@mandrillapp.com>
X-Sg-User: flywheelxxxxx
X-Sg-Opt: PWD=/www
X-Php-Originating-Script: 0:class-phpmailer.php
X-Priority: 3
X-Mailer: PHPMailer 5.2.7 (https://github.com/PHPMailer/PHPMailer/)
To: <[email protected]>
Message-Id: <[email protected]>
Received: from [162.243.115.105] by mandrillapp.com id 57b0f565d61f4314ae4398e41d1cf6f7; Mon, 02 Feb 2015 07:03:33 +0000
X-Report-Abuse: Please forward a copy of this message, including all headers, to [email protected]
X-Report-Abuse: You can also report abuse here: http://mandrillapp.com/contact/abuse?id=30068542.57b0f565d61f4314ae4398e41d1cf6f7
X-Mandrill-User: md_30068542
Date: Mon, 02 Feb 2015 07:03:33 +0000
MIME-Version: 1.0
Content-Type: multipart/alternative; boundary="_av-S0IDuFcF1O5aP8YpCVA_Kg"

--_av-S0IDuFcF1O5aP8YpCVA_Kg
Content-Type: text/plain; charset=utf-8
Content-Transfer-Encoding: 7bit

[ removed message content ]

--_av-S0IDuFcF1O5aP8YpCVA_Kg
Content-Type: text/html; charset=utf-8
Content-Transfer-Encoding: 7bit

[ removed message content ]

--_av-S0IDuFcF1O5aP8YpCVA_Kg--
email gmail spf dkim nielsbot
fonte

Respostas:

4

Você precisará adicionar um registro Mandrill DKIM ao seu domínio. O SPF e o DKIM passam, mas são baseados em mensagens sendo autenticadas no mandrillapp.com, não no seu domínio (ou seja, o domínio Return-Path está sendo usado para autenticação de mensagens). Para se autenticar como seu domínio e passar na verificação de alinhamento do DMARC, você precisa de SPF e DKIM para o domínio "de". Aqui estão informações sobre o registro DKIM a serem adicionadas: http://help.mandrill.com/entries/22030056-How-do-I-add-DNS-records-for-my-sending-domains-

Depois de fazer isso, o proprietário da conta Mandrill (no seu caso, Flywheel) precisará / desejará validar esses registros no Mandrill, para que o Mandrill saiba que ambos são válidos e possa começar a assinar mensagens para o seu domínio (isso pode ser feito na conta ou através da API Mandrill).

Kaitlin
fonte
2

A autenticação de mensagens, relatórios e conformidade com base em domínio ( DMARC ) está sendo adotada por muitos provedores de e-mail importantes, como Google, Yahoo, Hotmail, AOL e outros. Como se pode ler sobre aqui , é orientado para a padronização de autenticação de e-mail através de SPFe DKIMmecanismos já está sendo usado pela maioria dos servidores de correio.

A adição de um registro de política DMARC é muito semelhante à adição SPFe DKIMregistros: você adicionaria um TXTregistro à tabela DNS do seu domínio usando as tags listadas aqui pelo Google. Um exemplo que eles fornecem é:

v=DMARC1; p=none; rua=mailto:postmaster@your_domain.com

Verificando os registros DNS do seu domínio, vejo que ainda não foi DMARCadicionado um registro:

v=spf1 +a +mx include:_spf.google.com include:servers.mcsv.net include:spf.mandrillapp.com -all

Detalhes sobre como adicionar um TXTregistro para o Mandrill e provedores de DNS comuns podem ser encontrados aqui .

dan
fonte
Eu tenho um registro DMARC em _dmarc.seesawsf.com: "v = DMARC1; p = quarentena"
nielsbot 02/02/2015
1
@nielsbot Não apareceu quando testei aqui . Normalmente, não solucionamos problemas específicos de um site ou aplicativo, motivo pelo qual generalizei a pergunta e a resposta. Parece que você recebeu uma resposta específica da fonte (também apontando para o link na minha resposta). Boa sorte.
dan
2

O problema é causado por inconsistência entre o caminho de retorno e o cabeçalho De :.

Caminho de retorno: mandrillapp.com

De: @ seesawsf.com

  • SPF e DKIM verificam o domínio usando RFC5321.MailFrom (geralmente Return-Path :)
  • O DMARC verifica o domínio usando RFC5322.MailFrom (cabeçalho de :)

Ref: https://space.dmarcian.com/how-can-spfdkim-pass-and-yet-dmarc-fail/

Se o domínio for diferente, o DAMRC não poderá autenticar o evento do remetente, embora o SPF e o DKIM sejam passados ​​e a autenticação falhará.

Nesse caso, o SPF e o DKIM autenticam o mandrillapp.com, não para o sawawsf.com.

Como solução alternativa, o Retrun-Path e o Header From são necessários para o mesmo domínio ou o DMARC falhará.

Ryo
fonte