Rspamd项目中关于Gmail带点用户名触发ARC验证失败的技术分析

问题背景

在邮件安全领域，ARC(Authenticated Received Chain)是一种重要的邮件认证机制，用于记录邮件在传递过程中的认证状态。Rspamd作为一款开源的垃圾邮件过滤系统，在最新版本中仍存在一个与Gmail特殊用户名格式相关的ARC验证问题。

问题现象

当用户使用带有点号(.)的Gmail地址(如username.arc@gmail.com)发送邮件时，Rspamd会错误地标记这些邮件为可疑邮件，并显示"ARC failed"错误。具体错误信息表现为DNS查询失败：

ARC_REJECT(2.00){signature check failed: fail, {[1] = sig:gmail.com:dns request to mail._domainkey.gmail.com failed: no records with this name}

技术原理分析

1. Gmail用户名规范：

   • Gmail系统确实会忽略用户名中的点号，将username.arc@gmail.com和usernamearc@gmail.com视为同一邮箱
   • 但RFC标准要求邮件系统必须保留原始用户名中的点号

2. ARC验证机制：

   • Rspamd在进行ARC验证时，会解析邮件头中的ARC-Message-Signature字段
   • 根据规范，验证DNS记录应为<selector>._domainkey.<domain>格式
   • 对于Gmail的签名s=mail和d=gmail.com，正确的查询应为mail._domainkey.gmail.com

3. 问题根源：

   • Rspamd内部对Gmail地址进行了特殊处理，会移除用户名中的点号
   • 这种处理方式与Gmail实际的邮件处理逻辑存在差异
   • 导致后续的ARC验证流程出现异常

解决方案

目前可行的解决方案包括：

1. 修改Rspamd配置： 在lualib/lua_util.lua文件中，将specific_domains设置为空，跳过对Gmail用户名的特殊处理：

   local specific_domains = {}
   

2. 等待官方修复： 开发者已确认该问题，建议关注后续版本更新

3. 临时解决方案： 在邮件服务器上设置规则，对来自Gmail的邮件放宽ARC验证要求

最佳实践建议

1. 对于使用Rspamd的管理员：

   • 定期检查系统日志中的ARC验证错误
   • 考虑对重要域名的邮件设置白名单

2. 对于邮件发送方：

   • 避免在业务邮件中使用带有点号的Gmail地址
   • 考虑使用企业邮箱服务替代免费邮箱

3. 对于开发者：

   • 在处理邮件地址时，应严格遵守RFC标准
   • 对特殊域名的处理要格外谨慎

总结

这个问题揭示了邮件系统在处理特殊格式地址时的复杂性。Rspamd作为安全产品，其严格验证机制虽然提高了安全性，但也可能带来误判。理解邮件认证机制的工作原理，有助于管理员更好地配置和维护邮件系统。建议用户根据实际业务需求，在安全性和可用性之间找到平衡点。