Amazon SES SPF 记录失败

Question

我们已经使用 Amazon SES 设置了 SPF。

当我们 运行 测试 https://www.dmarcanalyzer.com/

我们得到以下信息：

所以一切似乎都是正确的。

但是我们的 dmarc 报告失败了

<record>
    <row>
      <source_ip>209.85.220.69</source_ip>
      <count>1</count>
      <policy_evaluated>
        <disposition>none</disposition>
        <dkim>pass</dkim>
        <spf>fail</spf>
      </policy_evaluated>
    </row>
    <identifiers>
      <header_from>flowcx.com.au</header_from>
    </identifiers>
    <auth_results>
      <dkim>
        <domain>flowcx.com.au</domain>
        <result>pass</result>
        <selector>6jm2ei7phvrqgxrufpn4j6rbk757tr6a</selector>
      </dkim>
      <dkim>
        <domain>amazonses.com</domain>
        <result>pass</result>
        <selector>6gbrjpgwjskckoa6a5zn6fwqkn67xbtw</selector>
      </dkim>
      <spf>
        <domain>mail.flowcx.com.au</domain>
        <result>softfail</result>
      </spf>
    </auth_results>
  </record>

据我所知，这是因为 IP 地址为 209.85.220.69。

这不在SES范围内？我知道我们可以将它添加到我们的 spf 记录中 - 但为什么 Amazon SES 从这个地址发送？

Answer 1

简短回答： 亚马逊未从 209.85.220.69 发送。 Google是。

背景：如果你look up the PTR record in DNS for 209.85.220.69你会发现它实际上是一个Google服务器转发以前从AmazonSES发送的电子邮件。

在这种情况下，AmazonSES DKIM 签名仍然存在（未更改签名的 header 字段），而在转发时，SPF 中断，因为 Google 的服务器不在 SPF 记录中。