Tại sao google.com cố gửi email từ tên miền của tôi?

Tôi đã lấy một báo cáo Phân tích DMARC hiển thị các email nhận được thay mặt cho tên miền của tôi:

Ngoài các email cá nhân được ủy quyền (SPF + DKIM) thông thường của tôi từ protonmail.chtên miền, còn có các email trái phép đến từ google.comtên miền. Tôi không sử dụng bất kỳ dịch vụ email nào của Google với tên miền này và không bao giờ có. ~~Chính sách DMARC của tên miền tôi đang từ chối chính xác các email trái phép này.~~

~~Tôi biết các email thực sự có nguồn gốc từ Google và không chỉ là tiếng ồn ngẫu nhiên trên internet, bởi vì các email được ký bằng mật mã google.com.~~

(Rein đã chỉ ra rằng chúng thực sự được ký bởi tên miền của tôi , vừa được Google chuyển tiếp.)

Đây là đoạn trích từ báo cáo tổng hợp DMARC (từ Google) cho thấy hai email đến từ một trong các IP của Google:

<record>
    <row>
      <source_ip>(IP address owned by Google LLC)</source_ip>
      <count>2</count>
      <policy_evaluated>
        <disposition>none</disposition>
        <dkim>pass</dkim>
        <spf>fail</spf>
      </policy_evaluated>
    </row>
    <identifiers>
      <header_from>maxlaumeister.com</header_from>
    </identifiers>
    <auth_results>
      <dkim>
        <domain>maxlaumeister.com</domain>
        <result>pass</result>
        <selector>protonmail</selector>
      </dkim>
      <spf>
        <domain>maxlaumeister.com</domain>
        <result>fail</result>
      </spf>
    </auth_results>
</record>

Bản ghi SPF / DKIM / DMARC của tôi là:

maxlaumeister.com: TXT "v=spf1 include:_spf.protonmail.ch mx -all"
protonmail._domainkey.maxlaumeister.com: TXT "v=DKIM1; k=rsa; p=(long key)"
_dmarc.maxlaumeister.com: TXT "v=DMARC1; p=reject; rua=mailto:(redacted)@rep.dmarcanalyzer.com,mailto:(redacted)@maxlaumeister.com; ruf=mailto:(redacted)@for.dmarcanalyzer.com,mailto:(redacted)@maxlaumeister.com; fo=1;

Câu hỏi của tôi là: Tại sao google.com cố gắng gửi email thay mặt cho tên miền của tôi ngay từ đầu? Và điều này có thể gây ra bất kỳ vấn đề về khả năng gửi cho các email hợp pháp của tôi không?

— Maximillian Laumeister
nguồn

Câu trả lời:

Trả lời ngắn: Bạn đang thấy các email được định tuyến nội bộ trong các báo cáo DMARC của mình, cho các miền người nhận được lưu trữ trên Google GSuite.

Từ ảnh chụp màn hình bạn chia sẻ, có vẻ như những email này được gửi từ máy chủ Google thực sự được cho phép thông qua, dựa trên việc ký DKIM cho tên miền của bạn (tuân thủ 100% DMARC), trong khi không liên kết SPF với tên miền của bạn. Không thể nhìn thấy từ ảnh chụp màn hình của bạn, nhưng tôi nghi ngờ Google đã viết lại đường dẫn trả lại cho email đến tên miền của chính nó. Bạn sẽ có thể tìm thấy thông tin đó trong các tệp XML thực tế của các báo cáo Tổng hợp.

Về cơ bản, đây là những email chuyển tiếp. Nếu bạn gửi email đến Danh sách phân phối được lưu trữ trong GSuite (Nhóm dành cho doanh nghiệp) của Google, những email đó thực sự được chuyển tiếp đến người nhận cuối cùng, thường là các hộp thư trong cùng một tổ chức với Danh sách phân phối. Trên Danh sách phân phối Office 365, loại định tuyến này sẽ không xuất hiện trong các báo cáo DMARC của bạn, tuy nhiên, Google rất ồn ào về điều này và bao gồm các báo cáo chuyển tiếp này trong các Báo cáo tổng hợp được gửi đến chủ sở hữu tên miền của miền gửi.

— Reinto
nguồn

Cảm ơn bạn đã dành thời gian để viết ra. Tôi hiểu rằng các email không tuân thủ DMARC trừ khi cả SPF và DKIM đều thẳng hàng (vì vậy nếu email không đạt SPF thì nó sẽ tự động bị lỗi DMARC). Tôi đã xem xét báo cáo tổng hợp của mình và không thể tìm thấy bất cứ điều gì về đường dẫn trở lại, nhưng tôi đã đăng một đoạn báo cáo tổng hợp của mình trong câu hỏi. Cuối cùng, về thông tin đó về danh sách phân phối, bạn có biết liệu thiết lập này có thể gây ra bất kỳ vấn đề nào về khả năng gửi email hợp pháp của tôi cho người dùng Google không?

— Maximillian Laumeister

DMARC không tìm kiếm FAIL mà là PASS. Hoặc thông qua SPF hoặc DKIM. Về Đường dẫn trả về, đó là miền được đề cập trong nút <SPF>. Tùy thuộc vào tổ chức báo cáo, nó cũng có thể xuất hiện dưới dạng phong bì_from trong nút <định danh>. Vượt qua DMARC và DKIM, nhưng không đạt SPF vì cơ chế định tuyến bên trong Google không gây ra tác động tiêu cực đến khả năng cung cấp, là kinh nghiệm của tôi.

— Reinto

Cảm ơn đã giải thích. Tôi đã đọc trên DMARC và tôi nghĩ rằng tôi hiểu rõ hơn về cách thức hoạt động của tất cả. Tôi dự định đánh dấu câu trả lời của bạn được chấp nhận vì đây có vẻ là lý do có thể xảy ra, nhưng tôi muốn chờ xem liệu có ai có nguồn bên ngoài mô tả hành vi này liên quan đến danh sách phân phối của Google và báo cáo DMARC không (nếu nó đã xảy ra với bất kỳ ai khác trên Internet).

— Maximillian Laumeister

Tôi đoán thật khó để chứng minh rằng đó là một Nhóm phân phối chuyển tiếp tin nhắn. Tuy nhiên, nhìn vào dữ liệu, chúng tôi có thể tự tin nói rằng: a) email ban đầu được gửi bởi bạn vì chữ ký DKIM trên tên miền của bạn không chính xác, b) email được báo cáo được gửi từ địa chỉ máy chủ / IP của Google và c ) hộp thư người nhận được lưu trữ trên Google, vì báo cáo được tạo bởi Google, như bạn đã đề cập. Tôi đồng ý, thật tuyệt vời khi Google tuyên bố về hành vi này, mặc dù tôi đã kiểm tra thiết lập Nhóm cho doanh nghiệp trong GSuite trong một người thuê thử nghiệm miễn phí.

— Reinto

Bạn đã chấp nhận hoặc từ chối lời mời lịch Google? Người tạo sự kiện sẽ nhận được email từ Google bằng địa chỉ email của bạn dưới dạng địa chỉ 'từ'.

Có thể là trường hợp cho các dịch vụ khác được cung cấp bởi Google.

— Hố
nguồn

Cảm ơn bạn đã trả lời. Có thể các dịch vụ khác của Google đang gửi email "từ" tôi khi tôi chia sẻ tệp với người khác. Có bất kỳ nguồn chính thức hoặc tài liệu khác bất kỳ hành vi này?

— Maximillian Laumeister 17/12/18

Xin lỗi tôi chỉ phát hiện ra điều này hai tuần trước, và không có thời gian để xem xét nó. Ido nghĩ thật lạ khi google làm điều gì đó như thế này, vì họ dường như khá nghiêm khắc khi áp dụng SPF / DKIM

— Pit

Tôi đã trải nghiệm một cái gì đó tương tự. Một lời mời đến Lịch Google đã được gửi "từ" user@mydomain.com nhưng thực tế nó đã được gửi bởi một máy chủ thư Google kể từ khi cơ chế Lịch Google được sử dụng. Nó sẽ thất bại cả SPF và DKIM trong tình huống đó và chính sách "từ chối" DMARC nói với máy chủ nhận thư từ chối nó. Trong trường hợp của tôi, người nhận thực sự là một người dùng Gmail và Google đã gửi email phản hồi từ chối "Tin nhắn bị chặn. Tin nhắn của bạn đến user@gmail.com đã bị chặn .... 550 5.7.1 Email không được xác thực từ domain.com không được chấp nhận do chính sách DMARC của tên miền. "

— mikato