Les e-mails envoyés passent SPF et DKIM, mais échouent DMARC lorsqu'ils sont reçus par Gmail

13

Gmail marque mes e-mails comme spam. Les messages passent SPF et DKIM, mais échouent DMARC. Existe-t-il un moyen de faire passer mes messages DMARC?

Je me suis récemment inscrit à l'hébergement WordPress chez Flywheel, qui utilise Mandrill pour les e-mails transactionnels. Mon site comporte plusieurs formulaires qui envoient des notifications par e-mail lors de leur soumission.

J'attache la source brute d'un exemple de message:

Delivered-To: [email protected]
Received: by 10.36.109.5 with SMTP id m5csp1332570itc;
        Sun, 1 Feb 2015 23:03:34 -0800 (PST)
X-Received: by 10.236.2.6 with SMTP id 6mr7036797yhe.179.1422860614601;
        Sun, 01 Feb 2015 23:03:34 -0800 (PST)
Return-Path: <bounce-md_30068542.54cf2145.v1-57b0f565d61f4314ae4398e41d1cf6f7@mandrillapp.com>
Received: from mail128-15.atl41.mandrillapp.com (mail128-15.atl41.mandrillapp.com. [198.2.128.15])
        by mx.google.com with ESMTPS id g67si3643342yhd.195.2015.02.01.23.03.34
        for <[email protected]>
        (version=TLSv1.2 cipher=ECDHE-RSA-AES128-GCM-SHA256 bits=128/128);
        Sun, 01 Feb 2015 23:03:34 -0800 (PST)
Received-SPF: pass (google.com: domain of bounce-md_30068542.54cf2145.v1-57b0f565d61f4314ae4398e41d1cf6f7@mandrillapp.com designates 198.2.128.15 as permitted sender) client-ip=198.2.128.15;
Authentication-Results: mx.google.com;
       spf=pass (google.com: domain of bounce-md_30068542.54cf2145.v1-57b0f565d61f4314ae4398e41d1cf6f7@mandrillapp.com designates 198.2.128.15 as permitted sender) smtp.mail=bounce-md_30068542.54cf2145.v1-57b0f565d61f4314ae4398e41d1cf6f7@mandrillapp.com;
       dkim=pass [email protected];
       dmarc=fail (p=QUARANTINE dis=QUARANTINE) header.from=seesawsf.com
DKIM-Signature: v=1; a=rsa-sha1; c=relaxed/relaxed; s=mandrill; d=mail128-15.atl41.mandrillapp.com;
 h=From:Sender:Subject:To:Message-Id:Date:MIME-Version:Content-Type; [email protected];
 bh=Jt6YNkQAh5eG3xb1p6nYqPNm8rQ=;
 b=HwSrIhBVCHMWd2/PMVTb49MJ/nrtEXVsIbV5wIzMyVNPiaCzmI5t5JkPM+E00Ug6CziUbTgUGM2o
   M/2W3jq43+EYjXGmVatW1Q3GcnErPc14WQr3b0FtCJFeTxVKR3wublilVvWyA9oRtTqsgyWc0Mlj
   0LrqrPb6UXTPre52Fog=
DomainKey-Signature: a=rsa-sha1; c=nofws; q=dns; s=mandrill; d=mail128-15.atl41.mandrillapp.com;
 b=qx6ydLL6hfTwC7h8XIW5C6jwtBHZ2R/5g8cCE60yXMxhLbH+fD5fc4kLXYNR6Ok5qlwvMKkG/aU5
   2/AQkTHLHxsq7fmVBpDFnxI1R2T1vBkYZ6StFnkhQp1tHUTfGrj+5j5K8+msc+qiIktNRSeL12JD
   egxGpd+2goJerCPfGsQ=;
Received: from pmta04.atl01.mandrillapp.com (127.0.0.1) by mail128-15.atl41.mandrillapp.com id hpsgkc1mqukr for <[email protected]>; Mon, 2 Feb 2015 07:03:34 +0000 (envelope-from <bounce-md_30068542.54cf2145.v1-57b0f565d61f4314ae4398e41d1cf6f7@mandrillapp.com>)
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=mandrillapp.com; 
 [email protected]; q=dns/txt; s=mandrill; t=1422860613; h=From : 
 Sender : Subject : To : Message-Id : Date : MIME-Version : Content-Type 
 : From : Subject : Date : X-Mandrill-User : List-Unsubscribe; 
 bh=3BX+Ypp8U/OwrT6jZiEJ7HZzbu5vXIAOTBSMt9pdT/c=; 
 b=D4qNdklkpV8zM74TZFQ8CkUy8N3zJesDWFWnNN6qAZ4eqW3WTCjg0W7Sooks5h+IiqC55Z
 2DbpzSC1GuNMDFbmxzUTeWXyA1QU/TpDrpHnd9D9qDLiflNTmWcrwKlT6U8Bp00d+itgq9bv
 ZhmZZ2+vY3fe3rFHv26UKwvdusFmg=
From: seesaw registration <[email protected]>
Sender: seesaw registration <[email protected]>
Subject: [removed]
Return-Path: <bounce-md_30068542.54cf2145.v1-57b0f565d61f4314ae4398e41d1cf6f7@mandrillapp.com>
X-Sg-User: flywheelxxxxx
X-Sg-Opt: PWD=/www
X-Php-Originating-Script: 0:class-phpmailer.php
X-Priority: 3
X-Mailer: PHPMailer 5.2.7 (https://github.com/PHPMailer/PHPMailer/)
To: <[email protected]>
Message-Id: <[email protected]>
Received: from [162.243.115.105] by mandrillapp.com id 57b0f565d61f4314ae4398e41d1cf6f7; Mon, 02 Feb 2015 07:03:33 +0000
X-Report-Abuse: Please forward a copy of this message, including all headers, to [email protected]
X-Report-Abuse: You can also report abuse here: http://mandrillapp.com/contact/abuse?id=30068542.57b0f565d61f4314ae4398e41d1cf6f7
X-Mandrill-User: md_30068542
Date: Mon, 02 Feb 2015 07:03:33 +0000
MIME-Version: 1.0
Content-Type: multipart/alternative; boundary="_av-S0IDuFcF1O5aP8YpCVA_Kg"

--_av-S0IDuFcF1O5aP8YpCVA_Kg
Content-Type: text/plain; charset=utf-8
Content-Transfer-Encoding: 7bit

[ removed message content ]

--_av-S0IDuFcF1O5aP8YpCVA_Kg
Content-Type: text/html; charset=utf-8
Content-Transfer-Encoding: 7bit

[ removed message content ]

--_av-S0IDuFcF1O5aP8YpCVA_Kg--
nielsbot
la source

Réponses:

4

Vous devrez ajouter un enregistrement Mandrill DKIM pour votre domaine. Le SPF et DKIM passent, mais il est basé sur les messages authentifiés pour mandrillapp.com, pas sur votre domaine (c'est-à-dire que le domaine Return-Path est utilisé pour l'authentification des messages). Afin de vous authentifier en tant que votre domaine et, à son tour, de passer la vérification d'alignement DMARC, vous avez besoin à la fois de SPF et de DKIM pour le domaine "de". Voici des informations sur l'enregistrement DKIM à ajouter: http://help.mandrill.com/entries/22030056-How-do-I-add-DNS-records-for-my-sending-domains-

Une fois que vous avez fait cela, le propriétaire du compte Mandrill (dans votre cas, Flywheel), devra / voudra valider ces enregistrements dans Mandrill, afin que Mandrill sache que les deux sont valides et peuvent commencer à signer des messages pour votre domaine (cela peut être fait dans le compte ou via l'API Mandrill).

Kaitlin
la source
2

L'authentification, la génération de rapports et la conformité des messages basés sur le domaine ( DMARC ) sont adoptés par de nombreux fournisseurs de messagerie majeurs tels que Google, Yahoo, Hotmail, AOL et autres. Comme on peut le lire ici , il vise à normaliser l'authentification des e-mails SPFet les DKIMmécanismes déjà utilisés par la plupart des serveurs de messagerie.

L'ajout d'un enregistrement de stratégie DMARC est très similaire à l'ajout SPFet aux DKIMenregistrements: vous ajouteriez un TXTenregistrement à la table DNS de votre domaine à l'aide des balises répertoriées ici par Google. Un exemple qu'ils fournissent est:

v=DMARC1; p=none; rua=mailto:postmaster@your_domain.com

En vérifiant les enregistrements DNS de votre domaine, je constate qu'aucun enregistrement n'a encore été DMARCajouté:

v=spf1 +a +mx include:_spf.google.com include:servers.mcsv.net include:spf.mandrillapp.com -all

Les détails sur la façon d'ajouter un TXTenregistrement pour Mandrill et les fournisseurs DNS courants peuvent être trouvés ici .

dan
la source
J'ai un enregistrement DMARC sur _dmarc.seesawsf.com: "v = DMARC1; p = quarantine"
nielsbot
1
@nielsbot Il ne s'est pas affiché lorsque je l'ai testé ici . En règle générale, nous ne résolvons pas les problèmes spécifiques à un site ou à une application, c'est pourquoi j'ai généralisé la question et la réponse. Il semble cependant que vous ayez une réponse spécifique de la source (pointant également le lien dans ma réponse). Bonne chance.
dan
2

Le problème est dû à une incohérence entre le chemin de retour et l'en-tête From :.

Chemin de retour: mandrillapp.com

De: @ seeawsf.com

  • SPF et DKIM vérifient le domaine à l'aide de RFC5321.MailFrom (généralement Return-Path :)
  • DMARC vérifie le domaine à l'aide de RFC5322.MailFrom (en-tête De :)

Réf: https://space.dmarcian.com/how-can-spfdkim-pass-and-yet-dmarc-fail/

Si le domaine est différent, DAMRC ne peut pas authentifier l'événement émetteur bien que SPF et DKIM soient passés et l'authentification échouera.

Dans ce cas, SPF et DKIM authentifient mandrillapp.com et non pour seeawsf.com.

Comme solution de contournement, Retrun-Path et Header From doivent être le même domaine ou DMARC échouera.

Ryo
la source