Проверка SPF на основе клиентского IP вместо IP MTA?
Установка
На клиентском компьютере с IP-адресом a.a.a.a, существует почтовый клиент, который использует SMTP для отправки электронных писем через почтовый сервер компании example.com с IP-адресом b.b.b.b.
example.com почтового сервера компании имеет запись SPF, которая включает IP-адрес b.b.b.b.
Проблема
Используя вышеупомянутую установку, электронное письмо послано и регулярный адрес Gmail, address@gmail.com и Google приложения обращаются к address@another_example.com, с от адреса author@example.com.
Две учетных записи получения дают различные результаты SPF.
В Gmail:
Received-SPF: pass (google.com: domain of author@example.com designates b.b.b.b as permitted sender) client-ip=b.b.b.b;
Однако в Google Apps:
Received-SPF: softfail (google.com: domain of transitioning author@example.com does not designate a.a.a.a as permitted sender) client-ip=a.a.a.a;
Отметьте в неудавшихся проверках SPF, Google Apps проверяет запись SPF по моему клиентскому IP-адресу a.a.a.a, который не является и не должен быть добавлен к записи SPF.
Как указано выше это - всего одно единственное электронное письмо, которое отправляется в два различных адреса.
Вопрос
Не должно быть никакого вопроса, является ли запись SPF установкой правильно для example.com, и регулярный Gmail подтверждает это. Вопрос состоит в том, почему был бы проверки Google Apps по сравнению с клиентским IP a.a.a.a?
Дополнительный
Полный заголовок как показано в Gmail и Google Apps:
Gmail
Delivered-To: address@gmail.com
Received: by 10.50.155.1 with SMTP id vs1csp2310853igb;
Tue, 14 Apr 2015 13:24:07 -0700 (PDT)
X-Received: by 10.202.184.3 with SMTP id i3mr12882037oif.61.1429043047220;
Tue, 14 Apr 2015 13:24:07 -0700 (PDT)
Return-Path: <author@example.com>
Received: from mail.example.com (mail.example.com. [b.b.b.b])
by mx.google.com with ESMTP id u128si1421479oig.11.2015.04.14.13.24.07
for <address@gmail.com>;
Tue, 14 Apr 2015 13:24:07 -0700 (PDT)
Received-SPF: pass (google.com: domain of author@example.com designates b.b.b.b as permitted sender) client-ip=b.b.b.b;
Authentication-Results: mx.google.com;
spf=pass (google.com: domain of author@example.com designates b.b.b.b as permitted sender) smtp.mail=author@example.com
Received: from x.x.tld ([a.a.a.a])
by mail.example.com (IBM Domino Release 9.0.1FP2 HF590)
with ESMTP id 2015041415240678-1040231 ;
Tue, 14 Apr 2015 15:24:06 -0500
From: author@example.com <author@example.com>
Subject: test spf
Message-Id: <B39FB647-AD58-41C1-9C9E-F61355F3C1DF@example.com>
Date: Tue, 14 Apr 2015 15:24:06 -0500
To: address@gmail.com, address@another_example.com
Mime-Version: 1.0 (Mac OS X Mail 8.2 \(2098\))
X-Mailer: Apple Mail (2.2098)
X-MIMETrack: Itemize by SMTP Server on XXX(Release 9.0.1FP2 HF590|December 11, 2014) at
04/14/2015 03:24:06 PM,
Serialize by Router on XXXX (Release 9.0.1FP2 HF590|December 11, 2014) at
04/14/2015 03:24:07 PM,
Serialize complete at 04/14/2015 03:24:07 PM
X-TNEFEvaluated: 1
Content-Transfer-Encoding: 7bit
Content-Type: text/plain; charset=us-ascii
Приложения Google:
Delivered-To: address@another_example.com
Received: by 10.112.136.137 with SMTP id qa9csp2056333lbb;
Tue, 14 Apr 2015 13:24:08 -0700 (PDT)
X-Received: by 10.60.52.237 with SMTP id w13mr17898646oeo.58.1429043047841;
Tue, 14 Apr 2015 13:24:07 -0700 (PDT)
Return-Path: author@example.com
Received: from mail.example.com (mail.example.com. [b.b.b.b])
by mx.google.com with ESMTP id uv7si1397910obc.93.2015.04.14.13.24.07
for <address@another_example.com>;
Tue, 14 Apr 2015 13:24:07 -0700 (PDT)
Received-SPF: softfail (google.com: domain of transitioning author@example.com does not designate a.a.a.a as permitted sender) client-ip=a.a.a.a;
Authentication-Results: mx.google.com;
spf=softfail (google.com: domain of transitioning author@example.com does not designate a.a.a.a as permitted sender) smtp.mail=author@example.com
Received: from x.x.tld ([a.a.a.a])
by mail.example.com (IBM Domino Release 9.0.1FP2 HF590)
with ESMTP id 2015041415240678-1040231 ;
Tue, 14 Apr 2015 15:24:06 -0500
From: <author@example.com>
Subject: test spf
Message-Id: <B39FB647-AD58-41C1-9C9E-F61355F3C1DF@example.com>
Date: Tue, 14 Apr 2015 15:24:06 -0500
To: address@another_example.com, address@gmail.com
Mime-Version: 1.0 (Mac OS X Mail 8.2 \(2098\))
X-Mailer: Apple Mail (2.2098)
X-MIMETrack: Itemize by SMTP Server on XXX (Release 9.0.1FP2 HF590|December 11, 2014) at
04/14/2015 03:24:06 PM,
Serialize by Router on XXX(Release 9.0.1FP2 HF590|December 11, 2014) at
04/14/2015 03:24:07 PM,
Serialize complete at 04/14/2015 03:24:07 PM
X-TNEFEvaluated: 1
Content-Transfer-Encoding: 7bit
Content-Type: text/plain; charset=us-ascii
Насколько я могу судить, я считаю, что проблема конфигурация электронной почты клиентов. Похоже, что он использует локальный почтовый сервер или почтовые серверы ISP этого человека, а не разговаривает напрямую с SMTP-серверами Google. На основе строк
Получено: от x.x.tld ([a.a.a.a]) by mail.example.com (IBM Domino Release 9.0.1FP2 HF590)
Похоже, что клиент отправляет электронную почту через какой-то другой почтовый сервер. Журналы Google Apps верны. Письмо не должно проходить проверку SPF. Однако, поскольку электронная почта разрешена в системе электронной почты вашей компании, она все равно проходит.
Причина, по которой эти две проверки различаются, вероятно, связана с тем, что в корпоративном аккаунте Google Apps есть параметр, расположенный в консоли администратора "Приложения" -> Google Apps -> Настройки для Gmail -> Расширенные настройки "затем под заголовком" Спам "в параметре" Шлюз входящей почты "будет указан адрес bbbb. Однако, если адрес b.b.b.b является одним из IP-адресов в записи MX для домена, он ДОЛЖЕН быть там указан, в противном случае его, вероятно, необходимо удалить оттуда и поместить в запись SPF, если это еще не сделано. Что этот параметр делает с проверкой SPF, так это то, что он сообщает Google, что IP-адрес, на который он должен смотреть, мог появиться на предыдущем публичном IP-переходе MTA перед этим адресом bbbb.
Это полезно для таких компаний, как наша, которые используют наши собственные серверы, как в нашей записи MX, а затем для сотрудников, использующих электронную почту Google Apps, наши серверы направляют электронную почту на серверы Google. Если бы Google проводил регулярную проверку SPF в этом случае, он бы подумал, что вся электронная почта поступает с IP-адреса, такого как bbbb, и проверка SPF была бы бесполезной.
Причина, по которой получатель Gmail показывает это иначе, заключается в том, что разные серверы Google обрабатывают это сообщения электронной почты, которые ничего не знают о настройке «Шлюз входящей почты» и видят только, что последний публичный IP-адрес MTA сообщения электронной почты перед серверами Google был bbbb
См. страницу справки Google по «Шлюзу входящей почты» здесь https: // support.google.com/a/answer/60730?hl=ru
Резюме
Исправьте настройки электронной почты клиента для использования SMTP-серверов Google. Если пользователь жалуется, что у него нет времени исправить это, то нарушите его электронную почту, заблокировав отправку, изменив программный сбой на полный сбой.