logo标签列表

亚马逊 SES IP 在 DMARC 中未通过 SPF 检查

wordpressamazon-web-servicesamazon-sesspfdmarc
4

我使用Amazon SES来发送交易邮件,并使用WP SES插件与WordPress集成。

对于一些以 54.240.27 开头的IP发送的电子邮件,SPF会失败。这似乎是Amazon SES IP。

我在DNS中添加了以下SPF txt:v=spf1 include:_spf.google.com include:ofpad.com include:amazonses.com ~all

非常感谢任何帮助。

更新: 根据architjn的指示,我在AWS中添加了MAIL FROM域,但问题仍然存在。

enter image description here

下面是Gmail实施邮件来源域后发送的DMARC。这是报告的可读版本:https://us.dmarcian.com/dmarc-xml/details/VANOJ4S6b8QGCinq/

<?xml version="1.0" encoding="UTF-8" ?>
<feedback>
  <report_metadata>
    <org_name>google.com</org_name>
    <email>noreply-dmarc-support@google.com</email>
    <extra_contact_info>https://support.google.com/a/answer/2466580</extra_contact_info>
    <report_id>4375352491574064416</report_id>
    <date_range>
      <begin>1601078400</begin>
      <end>1601164799</end>
    </date_range>
  </report_metadata>
  <policy_published>
    <domain>ofpad.com</domain>
    <adkim>r</adkim>
    <aspf>r</aspf>
    <p>none</p>
    <sp>none</sp>
    <pct>100</pct>
  </policy_published>
  <record>
    <row>
      <source_ip>54.240.27.115</source_ip>
      <count>9</count>
      <policy_evaluated>
        <disposition>none</disposition>
        <dkim>pass</dkim>
        <spf>fail</spf>
      </policy_evaluated>
    </row>
    <identifiers>
      <header_from>ofpad.com</header_from>
    </identifiers>
    <auth_results>
      <dkim>
        <domain>ofpad.com</domain>
        <result>pass</result>
        <selector>ukez6fkocbm5wtdd7aqfx754ngfzaqs3</selector>
      </dkim>
      <dkim>
        <domain>amazonses.com</domain>
        <result>pass</result>
        <selector>hsbnp7p3ensaochzwyq5wwmceodymuwv</selector>
      </dkim>
      <spf>
        <domain>us-west-2.amazonses.com</domain>
        <result>pass</result>
      </spf>
    </auth_results>
  </record>
  <record>
    <row>
      <source_ip>54.240.27.35</source_ip>
      <count>8</count>
      <policy_evaluated>
        <disposition>none</disposition>
        <dkim>pass</dkim>
        <spf>fail</spf>
      </policy_evaluated>
    </row>
    <identifiers>
      <header_from>ofpad.com</header_from>
    </identifiers>
    <auth_results>
      <dkim>
        <domain>ofpad.com</domain>
        <result>pass</result>
        <selector>ukez6fkocbm5wtdd7aqfx754ngfzaqs3</selector>
      </dkim>
      <dkim>
        <domain>amazonses.com</domain>
        <result>pass</result>
        <selector>hsbnp7p3ensaochzwyq5wwmceodymuwv</selector>
      </dkim>
      <spf>
        <domain>us-west-2.amazonses.com</domain>
        <result>pass</result>
      </spf>
    </auth_results>
  </record>
  <record>
    <row>
      <source_ip>209.85.220.41</source_ip>
      <count>39</count>
      <policy_evaluated>
        <disposition>none</disposition>
        <dkim>pass</dkim>
        <spf>pass</spf>
      </policy_evaluated>
    </row>
    <identifiers>
      <header_from>ofpad.com</header_from>
    </identifiers>
    <auth_results>
      <dkim>
        <domain>ofpad.com</domain>
        <result>pass</result>
        <selector>ukez6fkocbm5wtdd7aqfx754ngfzaqs3</selector>
      </dkim>
      <dkim>
        <domain>amazonses.com</domain>
        <result>pass</result>
        <selector>hsbnp7p3ensaochzwyq5wwmceodymuwv</selector>
      </dkim>
      <spf>
        <domain>ofpad.com</domain>
        <result>pass</result>
      </spf>
    </auth_results>
  </record>
  <record>
    <row>
      <source_ip>54.240.27.34</source_ip>
      <count>10</count>
      <policy_evaluated>
        <disposition>none</disposition>
        <dkim>pass</dkim>
        <spf>fail</spf>
      </policy_evaluated>
    </row>
    <identifiers>
      <header_from>ofpad.com</header_from>
    </identifiers>
    <auth_results>
      <dkim>
        <domain>ofpad.com</domain>
        <result>pass</result>
        <selector>ukez6fkocbm5wtdd7aqfx754ngfzaqs3</selector>
      </dkim>
      <dkim>
        <domain>amazonses.com</domain>
        <result>pass</result>
        <selector>hsbnp7p3ensaochzwyq5wwmceodymuwv</selector>
      </dkim>
      <spf>
        <domain>us-west-2.amazonses.com</domain>
        <result>pass</result>
      </spf>
    </auth_results>
  </record>
  <record>
    <row>
      <source_ip>209.85.220.41</source_ip>
      <count>87</count>
      <policy_evaluated>
        <disposition>none</disposition>
        <dkim>pass</dkim>
        <spf>fail</spf>
      </policy_evaluated>
    </row>
    <identifiers>
      <header_from>ofpad.com</header_from>
    </identifiers>
    <auth_results>
      <dkim>
        <domain>ofpad.com</domain>
        <result>pass</result>
        <selector>ukez6fkocbm5wtdd7aqfx754ngfzaqs3</selector>
      </dkim>
      <dkim>
        <domain>amazonses.com</domain>
        <result>pass</result>
        <selector>hsbnp7p3ensaochzwyq5wwmceodymuwv</selector>
      </dkim>
      <spf>
        <domain>gmail.com</domain>
        <result>pass</result>
      </spf>
    </auth_results>
  </record>
  <record>
    <row>
      <source_ip>54.240.27.38</source_ip>
      <count>3</count>
      <policy_evaluated>
        <disposition>none</disposition>
        <dkim>pass</dkim>
        <spf>fail</spf>
      </policy_evaluated>
    </row>
    <identifiers>
      <header_from>ofpad.com</header_from>
    </identifiers>
    <auth_results>
      <dkim>
        <domain>ofpad.com</domain>
        <result>pass</result>
        <selector>ukez6fkocbm5wtdd7aqfx754ngfzaqs3</selector>
      </dkim>
      <dkim>
        <domain>amazonses.com</domain>
        <result>pass</result>
        <selector>hsbnp7p3ensaochzwyq5wwmceodymuwv</selector>
      </dkim>
      <spf>
        <domain>us-west-2.amazonses.com</domain>
        <result>pass</result>
      </spf>
    </auth_results>
  </record>
  <record>
    <row>
      <source_ip>54.240.27.116</source_ip>
      <count>11</count>
      <policy_evaluated>
        <disposition>none</disposition>
        <dkim>pass</dkim>
        <spf>fail</spf>
      </policy_evaluated>
    </row>
    <identifiers>
      <header_from>ofpad.com</header_from>
    </identifiers>
    <auth_results>
      <dkim>
        <domain>ofpad.com</domain>
        <result>pass</result>
        <selector>ukez6fkocbm5wtdd7aqfx754ngfzaqs3</selector>
      </dkim>
      <dkim>
        <domain>amazonses.com</domain>
        <result>pass</result>
        <selector>hsbnp7p3ensaochzwyq5wwmceodymuwv</selector>
      </dkim>
      <spf>
        <domain>us-west-2.amazonses.com</domain>
        <result>pass</result>
      </spf>
    </auth_results>
  </record>
  <record>
    <row>
      <source_ip>54.240.27.123</source_ip>
      <count>6</count>
      <policy_evaluated>
        <disposition>none</disposition>
        <dkim>pass</dkim>
        <spf>fail</spf>
      </policy_evaluated>
    </row>
    <identifiers>
      <header_from>ofpad.com</header_from>
    </identifiers>
    <auth_results>
      <dkim>
        <domain>ofpad.com</domain>
        <result>pass</result>
        <selector>ukez6fkocbm5wtdd7aqfx754ngfzaqs3</selector>
      </dkim>
      <dkim>
        <domain>amazonses.com</domain>
        <result>pass</result>
        <selector>hsbnp7p3ensaochzwyq5wwmceodymuwv</selector>
      </dkim>
      <spf>
        <domain>us-west-2.amazonses.com</domain>
        <result>pass</result>
      </spf>
    </auth_results>
  </record>
</feedback>
2个回答
8

SPF 考虑的总是 From Domain。Header From 和 From Domain 是两个不同的概念。Header From 是邮件地址中@后面的部分,在本例中是 ofpad.com。但实际上,它会检查来自 From Domain 的 SPF。在本例中,From Domain 是 us-west-2.amazonses.com。而且,在 DMARC 中,它还会检查发送邮件的邮件头和 From Domain 是否具有相同的域名,这在本例中是不同的。这就是它失败的主要原因。在 DMARC 中,这被称为 SPF 对齐。

要解决此问题,您需要前往 SES 控制台并选择您的域名。在底部,您会看到一个名为 From Domain 的部分。您应该将其配置为 ofpad.com 的子域,并在此之后开始通过 SPF。这将使您的 SPF 放宽对齐。

我可以使用主域名而不是子域名吗?我已经有了Google Apps MX记录。这会导致冲突吗? - Abhishek R
您可以使用任何其他子域名作为“From Domain”,并仍然可以使用您的根域名作为“Header From”。它们可以不同。选择任何子域名都可以正常工作。 - architjn
1
我在AWS中实现了MAIL FROM Domain,但我的SPF似乎仍然失败。 我已经更新了原始问题,并附上了AWS设置的截图和谷歌发送给我的新XML。 任何帮助都将不胜感激。 - Abhishek R
我认为你已经分享了实施“MAIL FROM DOMAIN”后的报告,可能是当天或第二天。请再等1-2天以验证报告。通常报告会有一天的延迟。这就是为什么如果你看到有一个记录通过SPF验证而其他记录没有,那么报告现在是混合的。 - architjn
分享我今天收到的报告:https://us.dmarcian.com/dmarc-xml/details/USm64TQ5lItP9duy/仍然出现相同的错误。 - Abhishek R
显然,如果您验证了电子邮件地址和该电子邮件地址所属的域名,则电子邮件地址的设置将重写域名设置。我的发件人地址仅为域名配置,而非电子邮件地址。我删除了电子邮件地址,现在一切正常。 - Abhishek R
4
architjn指导我正确方向,我在AWS设置中添加了Mail From域名,但问题仍然存在,因为我还验证了我的发件人电子邮件,该电子邮件未使用我的域名的邮件来源域名。显然,如果您验证了电子邮件地址以及该电子邮件地址所属的域名,则电子邮件地址的设置将覆盖域名的设置。
因此,我为该域名配置的“Mail From”域名不适用于该邮件地址。
Amazon SES要求您验证电子邮件地址或域名。当您验证整个域时,您正在验证该域的所有电子邮件地址,因此您无需逐个验证该域中的电子邮件地址。
我从AWS的验证电子邮件中删除了该域名的电子邮件地址,现在域名中配置的“Mail From”域名正在使用。
以下是由architjn提供的AWS中的MAIL FROM域名:

enter image description here

网页内容由stack overflow 提供, 点击上面的
可以查看英文原文,
原文链接