Netease DMARC Failure Report (DMARC mechanism check failures)

BigBrother · Сообщение **BigBrother** » 21.06.2016 21:20

Часть писем, из почтовой рассылки не доходит до юзеров. Возвращается с сообщением

This is a spf/dkim authentication-failure report for an email message received from IP1 on Sat, 18 Jun 2016 16:51:48 +0800.
Below is some detail information about this message:
 1. SPF-authenticated Identifiers: amazonses.com;
 2. DKIM-authenticated Identifiers: amazonses.com;
 3. DMARC Mechanism Check Result: Identifier non-aligned, DMARC mechanism check failures;

For more information please check Aggregate Reports or mail to abuse@126.com.

Рассылка идет через службу амазона. В днс-е домена, от которого рассылается письма (поле FROM), указаны dkim, spf, dmarc записи. Куда смотреть? Может неправильно dmarc в днс-е указан?

BigBrother · Сообщение **BigBrother** » 20.07.2016 15:21

Посмотрев rua отчеты, видно ошибки, которые связаны с dns сервером моего домена.

Код: Выделить всё

   <auth_results>
      <dkim>
        <domain>domain.com</domain>
        <result>pass</result>
        <human_result>verify result: all signatures verified</human_result>
      </dkim>
      <spf>
        <domain>domain.com</domain>
        <result>temperror</result>
      </spf>
    </auth_results>

Код: Выделить всё

      <dkim>
        <domain>domain.com</domain>
        <result>temperror</result>
        <human_result>signature error: temporary dns failure requesting selector</human_result>
      </dkim>

При этом, один раз dkim валидация проходит нормально, а другой раз нет - это в пределах одного rua отчета.
Описание temperror ошибки - видимо не может достучаться к dns-у чтобы получить spf запись.
Ошибка "signature error: temporary dns failure requesting selector" - как бы говорит сама за себя - какая то фигня с запросами к днс серверу.
Напомню, что проблема с Китайскими, почтовыми адресами. Проверил доступность ns-серверов с Китая, через http://viewdns.info/chinesefirewall/ и http://www.greatfirewallofchina.org/ - все ок. Проверка spf через https://dmarcian.com/spf-survey/domain.com говорит что все ок. Связался с саппортом Поднебесной, они предлагаю мне поднять сервер в Китае и потестить мои ns-ы. Ибо GFW (Great FireWall of China) может блочить запросы, особенно udp.
Кроме как запустить скрипт в фоне, и переодически дергать мои ns-ы с Китайских серверов (потом смотреть сколько было неудачных запросов), какие еще есть идеи, почему возникает такая проблема?

BigBrother · Сообщение **BigBrother** » 21.07.2016 12:38

Не все так ок, как хотелось бы. Все таки, иногда GWF блочит запросы udp 53. http://prntscr.com/bvlyqa
В голову приходит только перенести свои ns-ы на другие сервера, которые находятся в white list-е у GFW. Или попробовать спрятаться за cloudflare. Какие еще есть варианты?

unixforum.org

Netease DMARC Failure Report (DMARC mechanism check failures)

Netease DMARC Failure Report

Re: Netease DMARC Failure Report

Re: Netease DMARC Failure Report