我们有一个域名test123.com,我们还有一个客户端test.gov。 test123.com 域名具有 SPF
spf.protection.outlook.com -all Received-SPF: Pass (protection.outlook.com: domain of amazonses.com designates 54.240.9.12 as permitted sender) receiver=protection.outlook.com; client-ip=54.240.9.12; helo=a9-12.smtp-out.amazonses.com现在在 AWS SES 中,我们向客户发送了批准,客户批准我们代表他们发送,但 aws 拒绝了它,说我未通过 dmark 来自 test.gov 的未经身份验证的电子邮件不被接受,因为 550-5.7.26 域的 DMARC 策略。
如果当我在我们控制的亚马逊域上测试 Protection.outlook.com 通过了 spf 时,为什么我们会被拒绝?
据我了解 DMARK,只要我通过了 DKIM 或 SPF,我就能通过 DMARK 检查。为什么当我们批准单个电子邮件相同时,protection.outlook.com 的相同 SPF 在 test123.com 上有效,但在 test.gov 上不起作用(域未通过 dkim 批准,只有单个电子邮件可以)
protection.outlook.com 的工作方式是否会有所不同,具体取决于他们可以让批准的发件人解析到的 to 域,因此,如果他们没有在其交换控制台中将我们设置为批准的发件人,它会拒绝,这意味着并非所有的 Protection.outlook.com 都可以SPF世界也一样吗?
我从来没有见过一个spf不是平等创建的,但我不知道为什么它会产生不同的结果,如果amazonses.com在test123.com上验证,它不应该在test.gov上仅在spf上验证吗?
使用强制 DMARK 策略设置 DNS v=DMARC1; p=拒绝; rua=mailto:[电子邮件受保护]; ruf=mailto:[电子邮件受保护]; sp=拒绝; fo=1; %=100
这符合他们的 dmark 政策
v=DMARC1; p=reject; rua=mailto:cat[email protected]; ruf=mailto:[email protected]; sp=reject; fo=1; pct=100两款都有SPF值
v=spf1 include:spf.protection.outlook.com -allspf.protection.outlook.com 是否可以根据其托管的域返回动态值?
“据我了解 DMARK,只要我通过了 DKIM 或 SPF,我就能通过 DMARK 检查。” - 确实如此,但 SPF 或 DKIM 必须同时“通过”和“对齐”。从您上面发布的标头可以清楚地看出,SPF 正在“通过”,但它并未“对齐”到“test123.com”,而是“对齐”到“amazonses.com”。
DKIM 是否通过并对齐? Amazon SES 具有有关验证 Amazon SES 以使用您的自定义域(“test123.com”)的文档。