Gmail SPF non riuscito basato sull'IP client

8

Gmail non verifica il controllo SPF in base all'IP client. Queste sono le intestazioni rilevanti:

Received-SPF: fail (google.com: domain of johndoe@example.com does not designate 164.77.240.58 as permitted sender) client-ip=164.77.240.58;
Received: from johndoe (unknown [164.77.240.58])
    by mail.example.com (Postfix) with ESMTP id 993643FE2D

L'IP client (164.77.240.58) è l'IP del computer di johndoe. L'IP mittente, l'IP di mail.example.com, è incluso nel record SPF.

Perché Gmail non funziona in base all'IP client anziché all'IP mittente? È così che dovrebbe funzionare SPF?

spf  gmail 
Max Toro
fonte
Mi sarei aspettato che il loro riferimento a "IP client" si riferisse semplicemente al client connesso al loro server SMTP. (Quale sarebbe quello che ti aspettavi, afaict?)
Håkan Lindqvist,
3
Puoi includere anche l' Receivedintestazione aggiunta da Gmail per chiarire da dove hanno effettivamente ricevuto la posta?
Håkan Lindqvist,
@ HåkanLindqvist Le altre ricevuto solo le intestazioni direby <google IP>
Max Toro
Abbiamo problemi simili con l'importazione di posta tramite IMAP su Gmail. Problema uno (meno simile): quando inviamo e-mail tra due caselle di posta locali come a@example.com a b@example.com (ma utilizzando la porta SMTP 25), Gmail lo importa e fa in modo che SPF controlli l'IP client non sul server. serverfault.com/q/669584 Problema due (più simili): quando qualcuno ci invia e-mail con le intestazioni ESMTP, Gmail lo importa e fa controllare SPF con il suo dominio del server e il nostro IP del server. serverfault.com/q/670113
Zbyszek,

Risposte:

4

Per prima cosa, tira il record spf di example.com:

$ dig -t spf mail.example.com

Verifica che example.com sia nell'elenco dei mittenti. Il tuo record spf dovrebbe assomigliare a questo:

"v=spf1 a:mail.example.com a:cname.example.com -all"

Prendi tutti i nomi di dominio elencati ed esegui una ricerca DNS su di essi per ottenere gli indirizzi IP:

$ dig mail.example.com

Quindi cerca un PTR per ottenere il nome DNS inverso per l'IP:

$ dig -x XX.XX.XX.XX

La ricerca IP inversa deve corrispondere a uno dei record elencati nel record spf. Sarebbe utile iniziare con il record spf in modo da poter vedere cosa sta succedendo.

Pete
fonte
3
itym dig example.com TXT. Inoltre, non credo che la ricerca inversa faccia alcuna differenza per SPF purché il record SPF non faccia uso del ptrmetodo.
Håkan Lindqvist,
2

Sì, Google sarebbe corretto nell'identificare l'errore SPF. L'indirizzo IP da controllare è l'indirizzo che si collega al server di posta di Google. Poiché non esiste un'intestazione ricevuta per Google, sospetto che il tuo server di posta stia verificando SPF sulla connessione. Dovrebbe solo controllare SPF per connessioni non autenticate da Internet. Le connessioni locali e le connessioni autenticate dovrebbero ignorare la convalida SPF.

SPF ha lo scopo di garantire che il computer di invio sia autorizzato dal dominio di invio. Normalmente un dominio avrebbe 1 o 2 server di posta che gestiscono tutta la posta inviata o ricevuta da Internet. Questi indirizzi dovrebbero essere quelli elencati nel record SPF per il dominio.

In questo caso, johndoesembra connettersi al server di posta del dominio. Se il server non si trova sulla rete del dominio, è comune utilizzare una connessione autenticata sulla porta di invio (587). Il server di posta dovrebbe quindi inoltrare il messaggio a Gmail e SPF dovrebbe passare. Se SPF ha ancora esito negativo, è necessario correggere il record SPF per includere l'IP del server di posta. Esistono diversi meccanismi che possono essere utilizzati.

La mia politica e-mail garantisce che tutta la posta legittima inviata dal mio dominio passerà SPF. Ci sono alcuni servizi che inoltrano messaggi per conto dei miei utenti che falliranno SPF. Tuttavia, gli errori registrati che ho ricevuto dai server di convalida DMARCsono tutti spammer.

BillThor
fonte
2
L'IP del server di posta è incluso nel record SPF. Questo è l'IP del mittente. Ma Gmail sta rifiutando in base all'IP client, questo è il computer di johndoe.
Max Toro,
@MaxToro Secondo l'intestazione ricevuta il computer di johndoe sta inviando direttamente a Google. Non ha record PTR, quindi è sconosciuto. Sarebbe come se il computer di johndoe fosse autenticato su Google.
BillThor il
No, questo è mail.example.com che riceve dal computer di johndoe.
Max Toro,
@MaxToro Sei sicuro che non sia il tuo server a rifiutare il record SPF? L'ultima politica attiva sarebbe quella di google. Il tuo registro di posta dovrebbe indicare se stai tentando di inviare a Google.
BillThor il
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.