如何解释这个 DMARC SPF 故障？

Question

我的每日 DMARC 包含以下记录。 有人可以解释 SPF 失败吗？

所有看起来都在我的域上正确设置，并且记录通过中的 spf 验证。我有点疑惑。

 <record>
    <row>
      <source_ip>AN-IP-ADDRESS</source_ip>
      <count>1</count>
      <policy_evaluated>
        <disposition>none</disposition>
        <dkim>pass</dkim>
        <spf>fail</spf>         WHY??????  WHAT CAUSES THIS TO FAIL HERE?
      </policy_evaluated>
    </row>
    <identifiers>
      <envelope_to>A-DOMAIN</envelope_to>
      <envelope_from>A-DOMAIN_ALLOWED-TO-SEND-MAILS</envelope_from>
      <header_from>MY-DOMAIN</header_from>
    </identifiers>
    <auth_results>
      <dkim>
        <domain>MY-DOMAIN</domain>
        <selector>smtpapi</selector>
        <result>pass</result>
      </dkim>
      <spf>
        <domain>A-DOMAIN_ALLOWED-TO-SEND-MAILS</domain>
        <scope>mfrom</scope>
        <result>pass</result>
      </spf>
    </auth_results>
  </record>

报告中的政策记录如下：

  <policy_published>
    <domain>MY-DOMAIN</domain>
    <adkim>r</adkim>
    <aspf>r</aspf>
    <p>quarantine</p>
    <sp>none</sp>
    <pct>100</pct>
    <fo>1:d:s</fo>
  </policy_published>

Answer 1

这看起来像是对齐失败。 DMARC的目的是authenticate the header-from address：

如果From 地址[<header_from>] 的域与MAIL FROM 地址[<envelope_from>] 的SPF 认证域或有效DKIM 签名的域相匹配，则认为邮件是可信的。

换句话说，SPF 对A-DOMAIN_ALLOWED-TO-SEND-MAILS 成功，但由于A-DOMAIN_ALLOWED-TO-SEND-MAILS 和MY-DOMAIN 没有相同的organizational domain，因此宽松的 DMARC 对齐失败。另一个例子见here。如果电子邮件是从email service provider (ESP) 发送的，那么您的配置可能没问题。 ESP 在<envelope_from> 地址中使用他们的域，以便他们可以为您处理bounce messages。另一方面，如果电子邮件是从您的mailbox provider 发送的，则邮箱提供商应在<envelope_from> 地址中使用MY-DOMAIN。