DMARC报告混乱

Question

在解释dmarc报告时遇到困难(来自谷歌)。我们的dmarc政策目前被设置为隔离。

  <record>
       <row>
           <source_ip>NOT.OUR.IP.ADDRESS</source_ip>
           <count>1</count>
           <policy_evaluated>
               <disposition>none</disposition>
               <dkim>pass</dkim>
               <spf>fail</spf>
           </policy_evaluated>
       </row>
       <identifiers>
           <header_from>OUR.DOMAIN</header_from>
       </identifiers>
       <auth_results>
           <dkim>
               <domain>OTHER.DOMAIN</domain>
               <result>pass</result>
               <selector>default</selector>
           </dkim>
           <dkim>
               <domain>OUR.DOMAIN</domain>
               <result>pass</result>
               <selector>OUR.SELECTOR</selector>
           </dkim>
           <spf>
               <domain>OTHER.DOMAIN</domain>
               <result>pass</result>
           </spf>
       </auth_results>
  </record>

OTHER.DOMAIN有一个spf记录。

我不知道为什么auth_results所有的通行证，但spf最终失败。这是因为我们的域名有一个dkim检查，但没有spf检查？

有人知道这里发生了什么吗？我们的域名是否被OTHER.DOMAIN欺骗过？IP地址与OTHER.DOMAIN匹配。

谢谢

J

Answer 1

record//row//auth_results包括SPF和检查的结果。这里的pass是必要的，但不足以使您的DMARC策略通过。

接下来检查的是域是否对齐(有关详细信息，请参阅RFC 7489 3.1节 )。由于SPF支票是指OTHER.DOMAIN，record//row//policy_evaluated//spf，您在这里得到一个fail。这与存在OUR.DOMAIN结果的DKIM不同。在DMARC术语中，这个标识符是对齐的，所以record//row//policy_evaluated//dkim是pass。

请注意，它是足以让任何一个人通过。这意味着，没有理由拒绝/隔离来自此源IP的1条消息。