DMARCの失敗は理由を理解できません
会社のドメインsurgishop.comを介してsalesforce.comからメッセージを送信すると、DMARCが失敗します。私はSPFとDKIMが正しく構成されていると思いますが、DMARCが失敗する理由を理解するのに役立つ可能性があります。
メールヘッダー:
キー:
surgishop.com。 14400 IN TXT v = spf1 mx include:_spf.google.com include:_spf.salesforce.com〜all
google._domainkey.surgishop.com。 14400 IN TXT V = DKIM1; K = RSA; P = MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCCpntjPXwGg8te96R6sBKmsUIQeIou8tgZWa8o + k0hMYnMQivNcDQG + TlZ6YHI5VfVoxrFbRoh5cDl7RXX9mc2GdO2dnqhlCEVgUY0ElxZrQ00k72KPYJ0wRJT5mSEMVO/VAN/L/yFaSRCrNeHJFbZNL6ttfX5T/1XIVo4gLf7ywIDAQAB
_dmarc.surgishop.com。 14400 IN TXT v = DMARC1; p = quarantine; sp = none; rua = mailto:[email protected]!10m; ruf = mailto:[email protected]!10m; rf = afrf; pct = 100; ri = 86400
- DMARCは、SPFまたはDKIMのいずれかが合格した場合にのみ、
FROM電子メールアドレスドメインに合わせて合格します。 - Salesforce(Marketing Cloud AFAIKを除くすべて)は、バウンス処理のために、
return-pathドメインを含む[...].bnc.salesforce.comメールアドレスを追加します。そして、return-pathフィールドで使用されるドメインは、SPFについてチェックされているものです。したがって、ドメインとの整合性はありません。それについては何もできません。Salesforceの仕組みです。 - DKIM署名をSalesforceに追加できます。説明は ここ です。 DKIMをSalesforceに追加し、公開鍵をDNSに追加し、SalesforceでDKIM鍵ペアを有効にすると、Salesforceはドメインを
DKIM.d=値として使用してメールへの署名を開始します。それはあなたのドメインと一致するでしょう、そしてそれ故にDMARCを渡します。
結論:Salesforceは独自のドメインをバウンス処理のリターンパスとして設定するため、ドメインのSPFは無視されます。 SalesforceにはDKIMがないため、追加する必要があります。