SPFとDMARC-spfポリシーが使用されていますか?
SPFがDMARCアライメントにどのように関与しているかは理解していますが、明確にできないことが1つあります。それは、SPFポリシー(-allまたは~all)DMARCで使用されていますか?それとも、DMARCは単にIP範囲を使用するだけですか?
問題は、ご存知のとおり、 SPFは転送を中断します です。転送に関しては、DKIMの方がはるかに優れています。では、DKIM + DMARCを実装したので、DMARCがSPFアライメントのチェックを処理するため、SPFポリシーを緩和できますか?
IP /ホストがSPFレコードにあるかどうかをチェックするだけで、全体的なロジックは次のとおりです。
If the sending IP address is contained in the SPF record = SPF PASS
If the sending IP address is not contained in the SPF record = SPF FAIL
( http://knowledge.ondmarc.com/learn-about-dmarc/all-you-need-to-know-about-spf-dkim-and-dmarc のようなサイトを参照してください。から引用されています)。
DMARCとSPFのポリシーは独立しています。 DMARCポリシーがあるため、SPFポリシーは変更しません。すべてのメールサーバーがDMARCを使用しているわけではなく、SPFを使用していることを考慮する必要があります。したがって、SPFポリシーはそれ自体で意味をなすはずです。
DMARCは、実際にSPFの結果を評価し、PASSを探し、smtp.mailfromドメインとheader.fromドメイン間のアラインメントを探します。 SPFがパスを生成しない限り(最後に?all、~all、または-allメカニズムがあるかどうかに関係なく)、DMARCはSPFの結果をPASSとは見なしません。同じことがDKIMにも当てはまります。 header.dドメインはheader.fromドメインと整列し、結果はPASSである必要があります。
ただし、質問に部分的に答えるために、一部のサーバーは、SPFハードフェイル(-all)を、DKIMでDMARCを通過したとしても、電子メールを拒否する理由として解釈します。
一方、すべての受信サーバーがDMARCをチェックするわけではありません。したがって、SPFソフト障害(~all)によって、電子メールがそれ自体で拒否されることはありません(一般的に言えば)。同時に、SPFはsmtp.mailfromドメインではなくheader.fromドメインでチェックされ、受信者には後者のみが表示されるため、スプーフィングから保護するための優れたツールではありません(ほとんどのクライアントでソフトウェア)。したがって、DMARCのアライメント要件。
転送に何が良いかという点では、状況によって異なります。一部のフォワーダーは、Return-Path(別名snmtp.mailfrom)を書き換えます。これにより、SPFは修正されますが、DMARCの調整は中断されます。たとえば、subjectフィールドにテキストを追加すると、DKIM署名が壊れます(subjectが署名されたヘッダーの1つであった場合)。それはそれほど明確ではありません。 Authenticated Received Chain (ARC)は、まだ開発中であっても、この点で役立つプロトコルです。
私のアドバイスは、ソフトフェイルメカニズムでSPFを使用し、拒否ポリシーでDMARCを使用することです。また、最適な結果を得るには、SPFとDKIMを無料で使用してください。
私の意見:あなたはDMARCで明確なディレクティブを公開しています。対応するチェックを実装するのは受信者次第です。実際、受信サーバーは、SPF(ハード)障害とDMARC拒否ポリシーの両方を完全に無視するように構成できます。それは送信者の責任ではなく、受信者の特権です。