¿Por qué mi correo electrónico falla en la prueba DKIM de Gmail?


10

Tengo un mensaje que fue rechazado por Gmail, no sé por qué. Pasa SPF. No estamos usando DKIM. ¿Necesito configurar DKIM?

Tengo el control de "example.com". Nuestro servidor de correo es "server.example.com" (alojado en bluehost)

Nuestro registro SPF es

v=spf1 +a +mx ?include:bluehost.com -all 

Sin embargo, Gmail rechazó un mensaje con:

550-5.7.1 El correo electrónico no autenticado de example.com no se acepta debido a la política DMARC del dominio 550-5.7.1. Póngase en contacto con el administrador de example.com ...

Los encabezados del mensaje:

Return-path: <sabrina@example.com>
Received: from [99.127.228.246] (port=61813 helo=[192.168.1.66])
    by server.example.com with esmtpsa (TLSv1:AES128-SHA:128)
    (Exim 4.80.1)
    (envelope-from <sabrina@example.com>)
    id 1VMLM8-0007ok-5c; Wed, 18 Sep 2013 17:16:03 +0000
From: Sabrina <sabrina@example.com>
Content-Type: multipart/alternative; boundary="Apple-Mail=_2FE0763D-B160-49C4-8202-B8258851AFAD"
Subject: positive self thoughts/talk 
Date: Wed, 18 Sep 2013 10:15:24 -0700
Message-Id: <D85DC2BA-0E8A-4AF6-9C54-203C52E996F2@example.com>
To: Tanja Schulte-Irwin <tanjaschulte@gmail.com>,
Zachary Bloom <zbloom@sffriendsschool.org>
Mime-Version: 1.0 (Apple Message framework v1278)
X-Mailer: Apple Mail (2.1278)

Respuestas:


12

Su registro SPF no está afectando esto.

Por lo que parece, tiene configurado un registro DMARC y no está firmando el correo saliente con DKIM. Para solucionar el problema, firme el correo saliente o elimine la política DMARC.

El registro DMARC es un registro TXT como el registro SPF, pero es en _dmarc.example.netdonde example.net es su dominio. Si no crees que tienes uno o no quieres eliminarlo, cámbialo v=DMARC1; p=nonepara anularlo.

Alternativamente, dado que está utilizando SPF, veo que es posible que no desee hacer esto. En este caso, deje su registro _dmarc como está, pero tendrá que deshacerse o cambiar su registro _domainkeys.

DKIM especifica que para un dominio example.net, se consultará el registro DKIM IN TXT _domainkeys.example.net. Debe encontrar este registro y eliminarlo o agregar el t=yindicador para especificar que (ya que aparentemente está probando DKIM) los resultados de la verificación DKIM deben ignorarse. Además, asegúrese de que su registro _dmarc no contenga la etiqueta adkim, y particularmente no adkim=s.


Para aclarar: ¿DMARC requiere DKIM? Encendí DMARC porque quería que no se me devolvieran los rechazos SPF.
nielsbot

1
No creo que DMARC requiera DKIM, pero si tienes DMARC y DKIM, ciertamente pueden interactuar. Es posible que pueda configurar DKIM y luego no usarlo especificando el modo de prueba, aunque en realidad, solo configure DKIM. Sería genial si publicaras los registros _dmarc y _domainkeys en tu dominio también para la pregunta.
Falcon Momot

Gracias. Si DMARC no requiere DKIM, ¿por qué mi mensaje sería rechazado? Pasa SPF. ¿No tengo que modificar la configuración de mi servidor de correo? No estoy seguro si puedo con bluehost VPS. Publicaré el registro DMARC cuando llegue a casa.
nielsbot

3
La política DMARC es lo que le dice que rechace o envíe mensajes basura. La validación DKIM es separada.
Falcon Momot

6

Sus datos están ofuscados, lo que dificulta su ayuda. Veo varios problemas:

  • Si no ha ofuscado su dirección IP, su DNS pasa la validación de rDNS pero se parece mucho a un robot de spam. Intente obtener la configuración de server.example.com como el PTR para su dirección y agregue server.example.com a su DNS. Obtener la configuración del registro PTR requiere el soporte de su proveedor de dirección IP (generalmente su ISP). Necesita una dirección IP fija para esto.
  • Su servidor no parece saber quién es. Debería dar server.example.com como su nombre en la solicitud HELO o ELHO.
  • Su correo no está firmado por DKIM. DMARC no requiere DKIM, pero su política debe coincidir con su práctica.

Intente enviar un correo electrónico a mailercheck-auth@port25.com (se informó que ya no está en servicio) para ver qué tan bien está configurado su servidor. Otras opciones se enumeran en mi artículo sobre Detección de falsificación del servidor de correo electrónico .


Jaja yo debería haber cambiado las direcciones IP también :)
nielsbot

1
No, no deberías haberlo hecho. Hace que sea mucho más difícil solucionar problemas (y no logra absolutamente nada).
gparent

mailercheck-auth@port25.com ya no parece funcionar desafortunadamente. (solo una nota para futuros visitantes)
Delphinator

3

Si su dominio no tiene configurado DKIM, definitivamente no necesita configurar DKIM. Su ausencia no haría que GMail arroje su correo electrónico a SPAM. Su presencia podría aumentar su calificación de SPAM, por lo que no sería rechazado.

Para verificar su SPF, debe indicarnos su dominio y las direcciones IP de su servidor SMTP. O bien, puede usar las herramientas de verificación en línea en http://www.openspf.org/ .

Para comprender DMARC, verifique esto: http://support.google.com/a/bin/answer.py?hl=es&answer=2466580 .

Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.