此消息没有认证信息或无法通过 550-5.7.26 认证检查

Question

我在使用 google 时遇到问题，我无法向任何 gmail 或 Gsuite 电子邮件发送电子邮件 从邮件服务器日志中得到报告

Feb 17 12:16:30 server postfix/smtp[19451]: 853E35E55A: to=<xxx@gmail.com>, 
relay=aspmx.l.google.com[209.85.144.27]:25, delay=0.38, delays=0.05/0/0.15/0.17, 
dsn=5.7.26, status=bounced (host aspmx.l.google.com[209.85.144.27] said: 550-5.7.26 This 
message does not have authentication information or fails to 550-5.7.26 pass 
authentication checks. To best protect our users from spam, the 550-5.7.26 message has 
been blocked. Please visit 550-5.7.26  
https://support.google.com/mail/answer/81126#authentication for more 550 5.7.26 
information. w19si7586061qkp.34 - gsmtp (in reply to end of DATA command))

并且我没有被列入任何垃圾邮件网站的黑名单（我会检查大多数提供黑名单检查器的网站）

我在 SPF 或 DKIM 或 DMARC 中也没有任何问题

这是 SPF 检查器 https://prnt.sc/26xomwz

这是 DKIM 检查器 https://prnt.sc/26xoodg

这是 DMARC 检查器 https://prnt.sc/26xopgo

这是来自 google

的 DMARC 报告

<?xml version="1.0" encoding="UTF-8" ?>
<feedback>
  <report_metadata>
    <org_name>google.com</org_name>
    <email>noreply-dmarc-support@google.com</email>
    <extra_contact_info>https://support.google.com/a/answer/2466580</extra_contact_info>
    <report_id>10254909114662490508</report_id>
    <date_range>
      <begin>1644969600</begin>
      <end>1645055999</end>
    </date_range>
  </report_metadata>
  <policy_published>
    <domain>cbs-canon.com</domain>
    <adkim>r</adkim>
    <aspf>r</aspf>
    <p>quarantine</p>
    <sp>quarantine</sp>
    <pct>100</pct>
  </policy_published>
  <record>
    <row>
      <source_ip>5.161.45.186</source_ip>
      <count>187</count>
      <policy_evaluated>
        <disposition>quarantine</disposition>
        <dkim>fail</dkim>
        <spf>fail</spf>
      </policy_evaluated>
    </row>
    <identifiers>
      <header_from>server.cbs-canon.com</header_from>
    </identifiers>
    <auth_results>
      <dkim>
        <domain>server.cbs-canon.com</domain>
        <result>fail</result>
        <selector>default</selector>
      </dkim>
      <spf>
        <domain>server.cbs-canon.com</domain>
        <result>none</result>
      </spf>
    </auth_results>
  </record>
  <record>
    <row>
      <source_ip>5.161.45.186</source_ip>
      <count>1</count>
      <policy_evaluated>
        <disposition>none</disposition>
        <dkim>pass</dkim>
        <spf>pass</spf>
      </policy_evaluated>
    </row>
    <identifiers>
      <header_from>cbs-canon.com</header_from>
    </identifiers>
    <auth_results>
      <dkim>
        <domain>cbs-canon.com</domain>
        <result>pass</result>
        <selector>default</selector>
      </dkim>
      <spf>
        <domain>cbs-canon.com</domain>
        <result>pass</result>
      </spf>
    </auth_results>
  </record>
</feedback>

我怎么知道哪里出了问题

Answer 1

这很奇怪。发送源 IP 肯定在您的 SPF 中，并且 DMARC 记录包括 aspf=r，因此 child 域中的 header 发件人地址有效且匹配。我还注意到您的 DMARC 有 p=quarantine，但 gmail 的行为就像是 reject。不过这是 gmail，所以您不能指望它表现良好。

我预计问题是您没有为 server.cbs-canon.com 设置 SPF 记录，因此请确保它存在并允许与 cbs-canon.com 相同的来源。看起来你也没有做 DKIM 签名，这意味着 SPF 和 DKIM 都失败了，导致 DMARC 失败。尝试将该 DNS 记录或 redirecting/including server. 添加到您的根域。

Answer 2

为@Synchro 的回答添加更多信息。

事实是 Return-Path 地址正在使用 server.cbs-canon.com 域并且该区域中没有 SPF 记录。您只需要 Return-Path 地址中使用的域的 SPF 记录。对于您服务器的电子邮件，那将是 server.cbs-canon.com。对于 Google 那可能只是 cbs-canon.com.

DKIM 也是如此。接收服务器正在检查域 server.cbs-canon.com 中名为 default 的选择器（因此查询 TXT 记录 default._domainkey.server.cbs-canon.com），该选择器不存在。

DMARC 随后将检查 SPF (Return-Path) 或 DKIM (d=) 域是否与 Header.From 域对齐（或在宽松模式下共享组织域） ).

目前对您来说最简单的解决方法可能是将 SPF TXT 记录和 DKIM 选择器记录复制到 server.cbs-canon.com 域。