Awaria SPF i awaria DKIM, gdy odbiorca ma przekierowanie e-mail

9

Skonfigurowałem SPF typu hardfail dla mojej domeny i podpisywania wiadomości DKIM na moim serwerze SMTP. Ponieważ jest to jedyny serwer SMTP, który powinien być używany do poczty wychodzącej z mojej domeny, nie przewidziałem żadnych komplikacji.

Zastanów się jednak nad następującą sytuacją: Wysłałem wiadomość e-mail przez mój serwer SMTP na e-mail uniwersytecki mojego kolegi. Problem polega na tym, że mój kolega przesyła swój uniwersytecki e-mail na swoje konto Gmail. Oto nagłówki wiadomości po dotarciu do jego skrzynki pocztowej GMail:

Received-SPF: fail (google.com: domena [email protected] nie określa 192.168.128.100 jako dozwolonego nadawcy) client-ip = 192.168.128.100;
Wyniki uwierzytelnienia: mx.google.com; spf = hardfail (google.com: domena [email protected] nie oznacza 192.168.128.100 jako dozwolonego nadawcy) [email protected]; dkim = hardfail (tryb testowy) [email protected]

(Nagłówki zostały zdezynfekowane w celu ochrony domen i adresów IP podmiotów spoza Google)

GMail sprawdza ostatni serwer SMTP w łańcuchu dostaw z moimi rekordami SPF i DKIM (słusznie). Ponieważ ostatnim serwerem STMP w łańcuchu dostaw był serwer uniwersytecki, a nie mój, sprawdzenie skutkuje niepowodzeniem SPF i niepowodzeniem DKIM. Na szczęście Gmail nie oznaczył wiadomości jako spam, ale obawiam się, że może to spowodować problem w przyszłości.

Czy moja implementacja SPF hardfail może być zbyt rygorystyczna? Wszelkie inne zalecenia lub potencjalne problemy, o których powinienem wiedzieć? A może istnieje bardziej idealna konfiguracja dla uniwersyteckiej procedury przekazywania e-maili? Wiem, że serwer przekierowujący może zmienić nadawcę kopert, ale widzę, że robi się bałagan.

Belmin Fernandez
źródło

Odpowiedzi:

5

Serwer przekazujący musi skonfigurować SRS, aby nie złamać SPF http://www.open-spf.org/srs/

topdog
źródło
1
+1 Czytałem o tym tuż przed otrzymaniem powiadomienia SF na twoją odpowiedź. Niestety widzę, że poczta uniwersytecka (Mirapoint) nie obsługuje SRS. Zastanawiasz się, czy wskaźnik wdrożenia SRS jest po prostu bardzo niski.
Belmin Fernandez
Większość dostawców, którzy przekazują pocztę, implementuje ją, na przykład blackberry używa jej do przepisania adresu podczas wysyłania z urządzenia
topdog
0

Podczas gdy przekazywanie nie psuje SPF (bez SRS), zwykle nie psuje DKIM. Wygląda na to, że (w oparciu o dkim=hardfail (test mode)wyniki uwierzytelniania GMail) problemem jest to, że rekord klucza SPF ma t=yflagę wskazującą, że służy on tylko do celów testowych .

Andrzej
źródło