Pourquoi mon e-mail échoue-t-il au test DKIM de Gmail?

10

J'ai un message qui a été rejeté par Gmail, je ne sais pas pourquoi. Il passe le SPF. Nous n'utilisons pas DKIM. Dois-je configurer DKIM?

Je contrôle "example.com". Notre serveur de messagerie est "server.example.com" (hébergé chez bluehost)

Notre record SPF est

v=spf1 +a +mx ?include:bluehost.com -all 

Cependant, Gmail a rejeté un message avec:

550-5.7.1 Les e-mails non authentifiés d'exemple.com ne sont pas acceptés en raison de la politique DMARC du domaine 550-5.7.1. Veuillez contacter l'administrateur de example.com ...

Les en-têtes de message:

Return-path: <[email protected]>
Received: from [99.127.228.246] (port=61813 helo=[192.168.1.66])
    by server.example.com with esmtpsa (TLSv1:AES128-SHA:128)
    (Exim 4.80.1)
    (envelope-from <[email protected]>)
    id 1VMLM8-0007ok-5c; Wed, 18 Sep 2013 17:16:03 +0000
From: Sabrina <[email protected]>
Content-Type: multipart/alternative; boundary="Apple-Mail=_2FE0763D-B160-49C4-8202-B8258851AFAD"
Subject: positive self thoughts/talk 
Date: Wed, 18 Sep 2013 10:15:24 -0700
Message-Id: <[email protected]>
To: Tanja Schulte-Irwin <[email protected]>,
Zachary Bloom <[email protected]>
Mime-Version: 1.0 (Apple Message framework v1278)
X-Mailer: Apple Mail (2.1278)
nielsbot
la source

Réponses:

12

Votre enregistrement SPF n'affecte pas cela.

À première vue, vous disposez d'un enregistrement DMARC et vous ne signez pas de courrier sortant avec DKIM. Pour résoudre le problème, signez le courrier sortant ou supprimez la stratégie DMARC.

L'enregistrement DMARC est un enregistrement TXT comme l'enregistrement SPF, mais c'est à l' _dmarc.example.netendroit où example.net est votre domaine. Si vous ne pensez pas en avoir un ou si vous ne souhaitez pas le supprimer, remplacez-le par v=DMARC1; p=nonepour le supprimer.

Alternativement, puisque vous utilisez SPF, je vois que vous ne voudrez peut-être pas le faire. Dans ce cas, laissez votre enregistrement _dmarc tel quel, mais vous devrez vous débarrasser ou modifier votre enregistrement _domainkeys.

DKIM spécifie que pour un domaine example.net, l'enregistrement DKIM sera interrogé IN TXT _domainkeys.example.net. Vous devez trouver cet enregistrement et le supprimer ou ajouter l' t=yindicateur pour spécifier que (comme vous testez ostensiblement DKIM), les résultats de la vérification DKIM doivent être ignorés. Assurez-vous également que votre enregistrement _dmarc ne contient pas la balise adkim, et en particulier pas adkim=s.

Falcon Momot
la source
Pour clarifier - DMARC nécessite DKIM? J'ai activé DMARC parce que je voulais que les rejets SPF soient abandonnés et ne me soient pas retournés.
nielsbot
1
Je ne pense pas que DMARC nécessite DKIM, mais si vous avez DMARC et DKIM, ils peuvent certainement interagir. Vous pourriez être en mesure de configurer DKIM, puis de ne pas l'utiliser en spécifiant le mode de test, mais en réalité, il suffit de configurer DKIM. Ce serait bien si vous publiez également les enregistrements _dmarc et _domainkeys de votre domaine à la question.
Falcon Momot
Merci. Si DMARC n'exige pas DKIM, pourquoi mon message serait-il rejeté? Il passe le SPF. Ne dois-je pas modifier la configuration de mon serveur de messagerie? Je ne sais pas si je peux avec Bluehost VPS. Je publierai le dossier DMARC à mon retour.
nielsbot
3
La politique DMARC est ce qui lui dit de rejeter ou de spammer les messages. La validation DKIM est distincte.
Falcon Momot
6

Vos données sont obscurcies, ce qui rend votre aide difficile. Je vois un certain nombre de problèmes:

  • Si vous n'avez pas obscurci votre adresse IP, votre DNS passe la validation rDNS mais ressemble beaucoup à un spambot. Essayez d'obtenir la configuration de server.example.com comme PTR pour votre adresse et ajoutez server.example.com à votre DNS. L'obtention de la configuration d'enregistrement PTR nécessite la prise en charge de votre fournisseur d'adresse IP (généralement votre FAI). Vous avez besoin d'une adresse IP fixe pour cela.
  • Votre serveur ne semble pas savoir de qui il s'agit. Il doit donner à server.example.com son nom dans la requête HELO ou ELHO.
  • Votre courrier n'est pas signé par DKIM. DMARC ne nécessite pas DKIM, mais votre politique doit correspondre à votre pratique.

Essayez d'envoyer un e-mail à [email protected] (signalé comme n'étant plus en service) pour voir dans quelle mesure votre serveur est configuré. D'autres options sont répertoriées dans mon article sur la détection de la contrefaçon du serveur de messagerie .

BillThor
la source
Haha j'aurais dû changer les IP aussi :)
nielsbot
1
Non, tu n'aurais pas dû. Il est beaucoup plus difficile à dépanner (et ne fait absolument rien).
gparent
[email protected] ne semble plus fonctionner malheureusement. (juste une note aux futurs visiteurs)
Delphinator
3

Si votre domaine n'a pas défini DKIM, vous n'avez certainement pas besoin de configurer DKIM. Son absence ne conduirait pas GMail à envoyer votre e-mail au SPAM. Sa présence pourrait augmenter sa cote de SPAM afin qu'il ne soit pas rejeté.

Pour vérifier votre SPF, vous devez nous indiquer votre domaine et les adresses IP de votre serveur SMTP. Ou, vous pouvez utiliser des outils de vérification en ligne sur http://www.openspf.org/ .

Pour comprendre DMARC, vérifiez ceci: http://support.google.com/a/bin/answer.py?hl=en&answer=2466580 .

Aleš Krajník
la source