DMARC/SPF 配置错误

Question

我在domains.google.com上注册了一个域，我将其与G Suite 帐户一起使用，还可以从SES 和mailchimp 发送电子邮件。

我的 DNS 记录在我看来是正确的（ Mailchimp 说明）：

@ TXT "v=spf1 include:_spf.google.com include:amazonses.com include:servers.mcsv.net ~all"

_dmarc TXT "v=DMARC1; p=none; pct=100; rua=mailto:re+aml1ryadtn7@dmarc.postmarkapp.com; sp=none; aspf=r;"

我使用邮戳的漂亮服务来获取每周 DMARC 摘要，并且他们报告了 mailchimp 电子邮件的此错误：

mcsv.net 被授权代表 mydomain.com 发送，但是看起来 SPF 仍然没有通过 DMARC 的对齐测试。 DMARC 查看邮件的返回路径以确保那里的域与您的发件人地址中的域匹配。 如果返回路径路径与您的发件人地址不匹配，则这些邮件将无法通过 DMARC 的 SPF 对齐测试。 检查此来源，因为您可能需要设置自定义返回路径。

以下是来自 mailchimp 电子邮件的相关标题：

Return-Path: <bounce-mc.us17_88978185.265251-recipient=patentbots.com@mail125.suw11.mcdlv.net>
From: me@mydomain.com

我是否在设置（DNS 或 Mailchimp）中有错误导致 SPF DMARC 对齐失败？ 或者这是Mailchimp不支持的东西？

Answer 1

Mailchimp 不支持 SPF，因为它在退回地址中使用自己的域。 不过，他们的域身份验证工具需要包括 Mailchimp。 Mailchimp 总是无法通过 DMARC 的 SPF 对齐测试，因为返回路径路径与发件人地址不匹配。 MailChimp 不支持自定义返回路径（即使 Mailchimp 拥有的 Mandrill 支持）。 这使得 Mailchimp 不可能在 DMARC 规则下 100% 符合 SPF。

Answer 2

我不是 100% 确定，但我猜如果返回路径和来自标头的域必须匹配，则您需要在自己的域中拥有一个指向 MC 的 CNAME DNS 记录，以便域可以匹配，例如：

mc CNAME mail125.suw11.mcdlv.net

那么您的返回路径可能会变成<bounce-mc.us17_88978185.265251-recipient=patentbots.com@mc.mydomain.com> 。

我不知道这样的子域匹配是否足够，即 DMARC 是否认为mc.mydomain.com和mydomain.com足够对齐。

如果你有很多域，我可以看到这个管理有点棘手。