Posts for: #Ops

顺着一封 DMARC 报告,学一下邮件认证三件套

Luca
#Email  #Security  #Ops 

slax.com 的客服邮箱每天会收到几封 DMARC Aggregate Report,发件人是 [email protected],附件是几百字节的 zip,里面是 XML。我之前从来不开。今天问了 Nix 一下这是什么,顺着学了一遍邮件认证三件套:SPF、DKIM、DMARC。

SPF

SPF(Sender Policy Framework)配在 DNS 里,告诉收件方"这些 IP 才允许替我发邮件"。比如域名用飞书邮箱,SPF 记录会写:

v=spf1 +include:_netblocks.m.feishu.cn -all

意思是飞书的发送服务器 IP 都允许,其他一律拒绝。

SPF 的弱点是不抗转发。客户把我的邮件转发到 Gmail 时,源 IP 变成转发服务器,原来的 SPF 检查就失败了。

DKIM

DKIM(DomainKeys Identified Mail)给每封外发邮件加密签名。私钥在邮件服务器那边,公钥发布在 DNS 里。收件方拿公钥验签,确认这封邮件是我发的、内容没被篡改。

签名跟着邮件走,被转发也不掉。所以 SPF 失败的转发场景,DKIM 还能过。

DKIM 的 selector 名因服务商而异,飞书是 feishu 加一串时间戳,比如 feishu2605101150._domainkey.yourdomain.com。要查 DKIM 是否配置,得知道精确的 selector 名。我一开始拿常见的 s1defaultlarksuite 去 dig,全部空,以为是没配。后来登录飞书后台才看到真实的 selector,DKIM 其实早就启用了。

DMARC

DMARC(Domain-based Message Authentication, Reporting & Conformance)是上面两件的协调层。它告诉收件方"如果 SPF 和 DKIM 都对不上我可见的 From: 地址,按这个策略处理(none / quarantine / reject),并把每天的统计发到这里"。

[阅读全文]

一个 AMP 报警,挖出一个子域名接管

Luca
#SEO  #Security  #Ops 

AMP(Accelerated Mobile Pages)是 Google 2015 年推的移动端加速网页框架,强制简化 HTML 和 JS、内容托管在 Google CDN,目的是让手机搜索结果秒开。后来普及度一般,2021 年 Google 把它从移动搜索排名加权里移除,现在基本是历史遗产,但 Search Console 还会扫描和报警。

今天收到 Google Search Console 的一封邮件:

AMP issues detected in wulujia.com

To the owner of wulujia.com:

Search Console has identified that your site is affected by 1 AMP issue(s). The following issues were found on your site.

Top non-critical issues

AMP page domain mismatch

Non-critical issues are suggestions for improvement, but don’t prevent the page or feature from appearing on Google. Some of these issues could be reclassified as critical in the future, and critical issues can affect your site’s appearance on Search.

[阅读全文]