Gmail сбой SPF на основе клиентского IP
Gmail приводит проверку SPF к сбою на основе клиентского IP. Это соответствующие заголовки:
Received-SPF: fail (google.com: domain of johndoe@example.com does not designate 164.77.240.58 as permitted sender) client-ip=164.77.240.58;
Received: from johndoe (unknown [164.77.240.58])
by mail.example.com (Postfix) with ESMTP id 993643FE2D
Клиентский IP (164.77.240.58) является IP компьютера johndoe. IP отправителя, IP mail.example.com, включен в запись SPF.
Почему Gmail перестал работать на основе клиентского IP вместо IP отправителя? Это то, как SPF, как предполагается, работает?
Сначала извлеките spf-запись example.com:
$ dig -t spf mail.example.com
Убедитесь, что example.com находится в списке отправителей. Ваша spf-запись должна выглядеть примерно так:
"v=spf1 a:mail.example.com a:cname.example.com -all"
Возьмите все перечисленные доменные имена и выполните DNS-поиск по ним, чтобы получить IP-адреса:
$ dig mail.example.com
Затем выполните поиск PTR, чтобы получить обратное DNS-имя для IP:
$ dig -x XX.XX.XX.XX
Обратный поиск IP должен соответствовать одной из записей, перечисленных в записи spf. Было бы полезно начать с записи spf, чтобы мы могли видеть, что происходит.
Да, Google правильно определит сбой SPF. IP-адрес, который следует проверить, - это адрес, который подключается к почтовому серверу Google. Поскольку для Google нет полученного заголовка, я подозреваю, что ваш почтовый сервер проверяет SPF на соединении. Он должен проверять SPF только на наличие неаутентифицированных подключений из Интернета. Локальные соединения и аутентифицированные соединения должны обходить проверку SPF.
SPF предназначен для обеспечения того, чтобы отправляющий компьютер разрешен отправляющим доменом. Обычно домен имеет 1 или 2 почтовых сервера, которые обрабатывают всю электронную почту, отправляемую или получаемую из Интернета. Эти адреса должны быть теми, которые указаны в записи SPF для домена.
В этом случае johndoe , похоже, подключается к почтовому серверу домена. Если сервер не находится в сети домена, обычно используется аутентифицированное соединение на порту отправки (587). Затем почтовый сервер должен переслать сообщение в Gmail, и SPF должен пройти. Если SPF по-прежнему не работает, необходимо исправить запись SPF, чтобы включить IP-адрес почтового сервера. Можно использовать несколько механизмов.
Моя Политика электронной почты гарантирует, что вся законная почта, отправляемая из моего домена, будет проходить SPF. Существуют службы, которые пересылают сообщения от имени моих пользователей, которые не работают с SPF. Однако все зарегистрированные отказы, которые я получил от серверов, проверяющих DMARC , были спамерами.