Ahoj! Řeším drobné problémy s doručitelností/důvěryhodností pošty. Máme nastavené SPF a DKIM. Zkoušel jsem nastavit i přísný DMARC (p=reject), ale rychle jsem narazil na to, že některé typy legitimních e-mailů se přestaly doručovat.
Při té příležitosti jsem zjistil, že některé aplikace z Google Workspace posílají e-maily, které nejsou správně autentizované přes SPF nebo DKIM, takže mají problém s doručitelností. Podezřívám zejména kalendář (například pozvánky na události), ale myslím i Google Groups. Řešili jste tohle někdy?
Našel jsem například tohle dva roky staré téma na Stack Overflow, ale říkám si, že za dva roky se ten problém musel vyřešit na straně Google Workspace…?
(Poště moc nerozumím, tak doufám, že ta otázka dává smysl.)
Pro více rozesílající domény musí DMARC záznam existovat, ale není důvod, aby byl přísný (stačí rua reportování na adresu, Recommended DMARC rollout - Google Workspace Admin Help). Že by google kalendář posílal špatně podepsané emaily jsem zatím nepotkal. Ale co mně překvapilo je, že samotné SPF se chová jinak, než když se použije v DMARC, rozdíl je hlavně při přeposílání, aneb když přeposílám emaily jen se SPF, tak to projde. Když přidám DMARC, tak SPF validace začne vracet chyby a je třeba přidat i DKIM - pokud platí DKIM, chyba SPF v DMARC nevadí, viz třeba I have an SPF record, so why is SPF failing? - DMARC Digests Support
Aktuálně s tím nejvíc stávkuje centrum.cz - některé přeposlané emaily odmítá (“DMARC unauthenticated mail is prohibited.”)
Zjistil jsem, že nám neseděl DMARC záznam pro doménu, opravil jsem.
Používáte někdo nějaký praktický nástroj pro analýzu DMARC reportů? Představuju si, že bych se někde zaregistroval do webové aplikace a dostal unikátní e-mailovou adresu, na kterou bych nechal posílat ty DMARC reporty a dostal hezké grafy DMARC chyb v čase + případnou možnost nastavit upozornění při chybách.
(Alternativně: používáte pro to někdo nějaký CLI nástroj pro hromadnou analýzu stažených DMARC reportů?)
Obvykle to umí služby na rozesílání, tj. pro Č.D.