SPF, DKIM, DMARC a doručitelnost pošty z Googlích aplikací

Ahoj! Řeším drobné problémy s doručitelností/důvěryhodností pošty. Máme nastavené SPF a DKIM. Zkoušel jsem nastavit i přísný DMARC (p=reject), ale rychle jsem narazil na to, že některé typy legitimních e-mailů se přestaly doručovat.

Při té příležitosti jsem zjistil, že některé aplikace z Google Workspace posílají e-maily, které nejsou správně autentizované přes SPF nebo DKIM, takže mají problém s doručitelností. Podezřívám zejména kalendář (například pozvánky na události), ale myslím i Google Groups. Řešili jste tohle někdy?

Našel jsem například tohle dva roky staré téma na Stack Overflow, ale říkám si, že za dva roky se ten problém musel vyřešit na straně Google Workspace…?

(Poště moc nerozumím, tak doufám, že ta otázka dává smysl.)

Pro více rozesílající domény musí DMARC záznam existovat, ale není důvod, aby byl přísný (stačí rua reportování na adresu, Recommended DMARC rollout - Google Workspace Admin Help). Že by google kalendář posílal špatně podepsané emaily jsem zatím nepotkal. Ale co mně překvapilo je, že samotné SPF se chová jinak, než když se použije v DMARC, rozdíl je hlavně při přeposílání, aneb když přeposílám emaily jen se SPF, tak to projde. Když přidám DMARC, tak SPF validace začne vracet chyby a je třeba přidat i DKIM - pokud platí DKIM, chyba SPF v DMARC nevadí, viz třeba I have an SPF record, so why is SPF failing? - DMARC Digests Support
Aktuálně s tím nejvíc stávkuje centrum.cz - některé přeposlané emaily odmítá (“DMARC unauthenticated mail is prohibited.”)

To posílání mailů je teda slušná divočina! Vrátím do hry DMARC s p=none, zapnu hlášení chyb a budu to pozorovat. Díky moc!

Zjistil jsem, že nám neseděl DMARC záznam pro doménu, opravil jsem.

Používáte někdo nějaký praktický nástroj pro analýzu DMARC reportů? Představuju si, že bych se někde zaregistroval do webové aplikace a dostal unikátní e-mailovou adresu, na kterou bych nechal posílat ty DMARC reporty a dostal hezké grafy DMARC chyb v čase + případnou možnost nastavit upozornění při chybách.

(Alternativně: používáte pro to někdo nějaký CLI nástroj pro hromadnou analýzu stažených DMARC reportů?)

Já jsem k reportům ještě nedošel Obvykle to umí služby na rozesílání, tj. pro Č.D. The Ins and Outs of DMARC Monitoring | SendGrid nebo DMARC Dashboard . Ale netuším, jestli-jak dobře umí reportovat i emaily odeslané jinudy.

Používam Postmark plus teď to umí nově i Cloudflare, pokud tam máš DNS, což vřele doporučuju.

My máme DNS na Vercelu a AWS, v obou případech kvůli pohodlí (návaznost na další infra). Na Postmark ale mrknu, díky moc!

Jen zmíním, že Cloudflare už má vlastní produkt. Zatím v betě, ale pokud by dávalo smysl mít to na jednom místě, je to taky varianta.

Postmark je super! Vybírám z týdenního reportu:

dmarc574×229 17.8 KB

Tušíte někdo, jak může u těch mailů poslaných přes Google haprovat SPF nebo DKIM? SPF záznam pro doménu obsahuje include:_spf.google.com a DKIM záznam máme nastavený podle instrukcí v našem Gmailu, tak nevím, jak víc tomu pomoct.

Google Workspace je v tomhle za mě záhadou, ono u doručování na Google Workspace je to podobný, občasný non-delivery bez jasnýho důvodu.

Každopádně, high-level nápady:

1. SFP - Přeposílání bez správnýho SRS (řešeno třeba zde)
2. SPF - Emaily posílá jiná služba a ne přímo Google Workspace
3. SPF - SPF na x-tým místě a fail na lookupu
4. DKIM - nesprávnej selector
5. DKIM - modifikovaný hlavičky v tranzitu, zase nějakou další službou

Asi bych zkušel projít ty hlavičky, zda jsou čistý, případně nástroje (včetně toho od Google) na kontrolu.

Tím, že je misalignment jen někde, já osobně - při své omezené email znalosti - tipl, že to způsobuje nějaká služba, kde dochází k přeposílání/úpravě hlaviček, který pak failují. Takže možná projít hlavičky z každé služby, která má právo řešit ty emaily? Otravný, ale quick fix mě nenapadá.

Výtečný tipy, mockrát děkuju!, vyzkouším a dám vědět.