DMARC raporunuzu açıyorsunuz ve kafa karıştırıcı bir şey görüyorsunuz:

  • dkim=pass
  • DMARC politika sonucunda spf=fail
  • …oysa başka bir alan adı için SPF geçmiş durumda

Pek çok durumda bu kalıp aşağıdaki gibi görünür (değerler anonimleştirilmiştir):

<header_from>company-domain.example</header_from>
<spf>
  <domain>region-mail-out.amznsmtp.example</domain>
  <result>pass</result>
</spf>
<policy_evaluated>
  <spf>fail</spf>
</policy_evaluated>

Amazon WorkMail kullanıyorsanız bu durum oldukça yaygındır. WorkMail, arka planda Amazon SES üzerinden gönderim yapar — bu durum da DMARC SPF hizalaması üzerinde önemli sonuçlar doğurur.

SPF Geçiyor — DMARC Hizalaması Başarısız Oluyor

İlk önemli nokta: SPF kaydınız genellikle "bozuk" değildir. Başarısız olan, DMARC hizalama denetimidir.

DMARC üç alan adına bakar (hepsi burada anonimleştirilmiştir):

  • Görünür From: user@company-domain.example (header_from)
  • MAIL FROM / Return-Path: b1234@region-mail-out.amznsmtp.example
  • DKIM d= alan adı: d=company-domain.example

SPF, MAIL FROM alan adı için değerlendirilir; örneğin:

SPF domain: region-mail-out.amznsmtp.example
SPF result: pass

DMARC bunun ardından şunu sorar: "Bu SPF alan adı, görünür From: alan adıyla hizalı mı?"

  • DMARC kaydınız aspf=s (katı) kullanıyorsa alan adının tamamen aynı olması gerekir.
  • aspf=r (gevşek) kullanıyorsa bir alt alan adına izin verilir.

WorkMail'in varsayılan davranışıyla MAIL FROM, region-mail-out.amznsmtp.example gibi Amazon kontrolündeki bir alan adıdır. Bu alan adı hiçbir zaman company-domain.example ile eşleşmeyecektir; dolayısıyla altta yatan SPF denetimi başarılı olsa bile SPF hizalaması başarısız olur.

Amazon WorkMail Neden Amazon MAIL FROM Alan Adı Kullanır?

Amazon WorkMail, Amazon SES'in üzerine inşa edilmiştir. WorkMail üzerinden bir e-posta gönderdiğinizde gerçek teslimi SES üstlenir.

Varsayılan olarak SES, aşağıdakine benzer dahili bir gönderim kimliği kullanır (yine anonimleştirilmiştir):

MAIL FROM: b1234@region-mail-out.amznsmtp.example
Return-Path: <b1234@region-mail-out.amznsmtp.example>

Bu teknik açıdan sorunsuz bir durumdur — SES gönderim altyapısı yetkili olduğu için SPF geçer. Ancak DMARC için bir uyumsuzluk yaratır:

  • From: user@company-domain.example
  • SPF alan adı: region-mail-out.amznsmtp.example

Sonuç: SPF hizalaması = başarısız. Bu arada DKIM (d=company-domain.example ile imzalanmış) genellikle geçer ve hizalıdır — dolayısıyla DMARC genel olarak yine de geçer.

DMARC Raporlarında SPF Başarısızlığı Gördüğünüzde İki Seçenek

Bunu kavradıktan sonra temelde iki strateji izleyebilirsiniz:

Seçenek 1: Yalnızca DKIM Hizalamasını Kabul Etmek

Pek çok durumda aşağıdaki durumu olduğu gibi kabul edebilirsiniz:

  • SPF hizalaması başarısız olur (Amazon MAIL FROM alan adı nedeniyle)
  • DKIM hizalaması geçer (çünkü DKIM kendi alan adınızı kullanır)
  • SPF veya DKIM'den en az biri hizalı olduğu için DMARC geçer

DMARC raporlarınız, <policy_evaluated> içinde <spf>fail</spf> görünen satırları göstermeye devam edecektir; ancak bu mesajlar DKIM hizalaması sayesinde teslim edilir.

Seçenek 2: Özel MAIL FROM Alan Adıyla SPF Hizalamasını Düzeltmek

DMARC'ta "tam yeşil" görünmek ve daha temiz raporlar elde etmek istiyorsanız bir özel MAIL FROM alan adı yapılandırabilirsiniz. Bir Amazon alan adı kullanmak yerine SES (ve dolayısıyla WorkMail), kendi bölgeniz altında bir MAIL FROM kullanarak gönderim yapar; örneğin:

MAIL FROM: bounce@bounce.company-domain.example
SPF domain: bounce.company-domain.example

Fikir basittir:

  • bounce.company-domain.example gibi bir alt alan adı seçersiniz
  • SES'in o alt alan adı için size verdiği MX ve SPF TXT kayıtlarını eklersiniz
  • DMARC politikanızı gevşek SPF hizalaması (aspf=r) kullanacak şekilde güncellersiniz

DMARC artık bounce.company-domain.example'ın company-domain.example'ın bir alt alan adı olduğunu görür. Gevşek hizalama ile SPF geçer ve hizalanır.

Kavramsal Kurulum: WorkMail için Özel MAIL FROM

Konsol etiketleri zaman içinde değişebilir; ancak iş akışı her zaman aynıdır:

  1. WorkMail'in yapılandırıldığı bölgede SES konsolunu açın.
  2. Gönderim alan adınızı seçin (örneğin company-domain.example).
  3. Özel bir MAIL FROM alan adını etkinleştirin; örneğin bounce.company-domain.example.
  4. SES'in size gösterdiği DNS kayıtlarını ekleyin:
    • bounce.company-domain.example için bir MX kaydı
    • Genellikle şuna benzer bir SPF içeren bir TXT kaydı: v=spf1 include:amazonses.example -all
  5. Özel MAIL FROM etkinleşene kadar doğrulamayı bekleyin.
  6. Gerekirse DMARC kaydınızı ayarlayın; örneğin: 
    v=DMARC1; p=reject; adkim=s; aspf=r; rua=mailto:dmarc-reports@redacted-domain.example; fo=1

Yukarıdaki tüm alan adları kasıtlı olarak anonimleştirilmiştir; ancak kalıp, gerçek bir ortamda göreceğinizle birebir aynıdır.

Yapmamanız Gereken

Neredeyse her zaman kötü bir fikir olan cazip bir "hızlı çözüm" vardır: SPF hizalamasını sağlamak için görünür From adresini Amazon'a ait bir alan adıyla değiştirmek.

Bu, müşterilerinizin kendi markanız yerine notifications@region-mail-out.amznsmtp.example gibi bir adresten e-posta alması anlamına gelir. Marka tanınırlığınızı yitirirsiniz, yanıt yönetimi karmaşık hale gelir ve kendi alan adınız üzerindeki DMARC korumasını kaybedersiniz.

Doğru yol neredeyse her zaman şudur:

  • @company-domain.example üzerinden göndermeye devam edin
  • DKIM'in d=company-domain.example ile imzalamsına izin verin
  • İsteğe bağlı olarak özel bir MAIL FROM alt alan adı aracılığıyla SPF hizalamasını düzeltin

DMARCFlow, WorkMail ve SPF Karmaşasını Çözmenize Nasıl Yardımcı Olur?

Ham XML DMARC raporlarına ilk baktığınızda "SPF fail" satırlarını yanlış yorumlamak kolaydır. Kayıt mı hatalı? IP engellendi mi? Yoksa yalnızca bir hizalama nüansı mıdır?

DMARCFlow üç somut şekilde yardımcı olur:

  • SPF denetimleri ile SPF hizalaması için ayrı görünümler — bir başarısızlığın DNS ile ilgili mi yoksa hizalama kaynaklı mı olduğunu anında görmenizi sağlar.
  • Sağlayıcıya özel açıklamalar; Amazon WorkMail, SES ve paylaşımlı gönderim alan adları kullanan diğer platformlar için.
  • Eyleme dönüştürülebilir öneriler; sizin durumunuzda gerçekten anlamlıysa özel MAIL FROM yönlendirmesi dahil olmak üzere DMARC, SPF ve DKIM için.

Son Düşünceler

Amazon WorkMail kullanıyor ve DMARC raporlarınızda SPF başarısızlıkları görüyorsanız yalnız değilsiniz. Çoğu durumda SPF kaydınız sorunsuz; başarısız olan, From alan adınızla hizalamadır.

Yalnızca DKIM hizalamasıyla rahatça devam edebilir ya da SPF'nin de hizalanması için ekstra çaba göstererek özel bir MAIL FROM alan adı yapılandırabilirsiniz. Önemli olan, raporların size gerçekte ne söylediğini anlamaktır — rastgele SPF değişikliklerini körce denemek yerine.

Tahmin yürütme sürecini kısaltmak istiyorsanız alan adınızı DMARCFlow üzerinden çalıştırın ve raporları sizin için çözdürün.

SPF'nizin gerçekten başarısız olup olmadığından emin değil misiniz?
Ücretsiz DMARC/SPF/DKIM taraması yapın; ham denetimleri ve hizalamayı yan yana görün.
Ücretsiz Tarama