Рейтинг:0

Могу ли я остановить SPF SOFTFAIL в Gmail при отправке на адреса и с адресов, у которых есть псевдоним почты?

флаг in

У меня есть домен тщеславия (mydomain.com), размещенный Ганди и настроенный с почтовыми псевдонимами для моей семьи, которые указывают на наши соответствующие адреса Gmail:

Псевдоним Реальный адрес
я@мойдомен.com [email protected]
мой брат@мойдомен.com брат[email protected]

и так далее.

Gmail настроен на отправку электронной почты в качестве личного адреса, и у меня также настроена запись SPF:

v=spf1 включает:_spf.google.com включает:_spf.gpaas.net включает:_mailcust.gandi.net ?все

Хотя mail-tester.com сообщает, что SPF настроен правильно, можно получить SOFTFAIL при отправке электронного письма с адреса [любой]@mydomain.com на [любой]@mydomain.com:

Отправлено из Отправлено SPF-результат электронной почты
[email protected] брат[email protected] ПРОХОДЯТ
[email protected] мой брат@мойдомен.com ПРОХОДЯТ
я@мойдомен.com брат[email protected] ПРОХОДЯТ
я@мойдомен.com мой брат@мойдомен.com СОФТФЕЙЛ

Заголовки, когда электронная почта SOFTFAILs выглядит следующим образом:

Кому доставлено: [email protected]
ARC-Аутентификация-Результаты: i=1; mx.google.com;
       spf=softfail (google.com: домен перехода [email protected] не указывает 2001:4b98:dc4:8::230 в качестве разрешенного отправителя) [email protected]
Возвратный путь: <[email protected]>
Получено: от relay10.mail.gandi.net (relay10.mail.gandi.net. [2001:4b98:dc4:8::230])
        от mx.google.com с идентификатором ESMTPS w4-20020a05600018c400b0020ac7a84cb7si9021160wrq.441.2022.05.01.02.22.05
        для <[email protected]>
        (версия=TLS1_2, шифр=ECDHE-ECDSA-CHACHA20-POLY1305, биты=256/256);
        Вс, 01 мая 2022 г., 02:22:06 -07:00 (PDT)
Received-SPF: softfail (google.com: домен перехода [email protected] не указывает 2001:4b98:dc4:8::230 в качестве разрешенного отправителя) client-ip=2001:4b98:dc4:8::230;
Результаты аутентификации: mx.google.com;
       spf=softfail (google.com: домен перехода [email protected] не указывает 2001:4b98:dc4:8::230 в качестве разрешенного отправителя) [email protected]
Получено: от spool.mail.gandi.net (spool3.mail.gandi.net [217.70.178.212]) через relay.mail.gandi.net (Postfix) с идентификатором ESMTPS 51151240003 для <[email protected]>; Солнце,
  1 мая 2022 г. 09:22:05 +0000 (UTC)
X-конверт-кому: [email protected]
Получено: от mail-lf1-f48.google.com (mail-lf1-f48.google.com [209.85.167.48]) через spool.mail.gandi.net (Postfix) с идентификатором ESMTPS 49A2CAC0C45 для <[email protected] >; Солнце,
  1 мая 2022 г. 09:22:04 +0000 (UTC)
Получено: по почте-lf1-f48.google.com с SMTP-идентификатором w19so20836346lfu.11
        для <[email protected]>; Вс, 01 мая 2022 г., 02:22:04 -07:00 (PDT)
Получено: от smtpclient.apple (cpc1-sotn14-2-0-cust79.15-1.cable.virginm.net. [81.96.148.80])
        от smtp.gmail.com с идентификатором ESMTPSA r7-20020a2e8e27000000b0024f3d1dae9asm761964ljk.34.2022.05.01.02.22.02
        для <[email protected]>
        (версия = TLS1_3, шифр = TLS_AES_128_GCM_SHA256, биты = 128/128);
        Вс, 01 мая 2022 г., 02:22:02 -07:00 (PDT)
От кого: я <[email protected]>
Кому: Мой брат <[email protected]>
Received-SPF: pass (spool3: домен gmail.com назначает 209.85.167.48 разрешенным отправителем) client-ip=209.85.167.48; конверт-от[email protected]; helo=mail-lf1-f48.google.com;
Результаты аутентификации: spool.mail.gandi.net; дким=нет; dmarc=нет; spf=pass (spool.mail.gandi.net: домен [email protected] обозначает 209.85.167.48 в качестве разрешенного отправителя) [email protected]

Можно ли каким-либо образом остановить отправку электронных писем с mydomain.com на другой адрес mydomain.com с ошибкой SPF?

Рейтинг:1
флаг ng

Вы можете видеть, что почта была получена с сервера Gandi:

Получено: от relay10.mail.gandi.net (relay10.mail.gandi.net. [2001:4b98:dc4:8::230])

Вы можете видеть, что серверы Gandi не авторизованы в записи SPF:

Received-SPF: softfail (google.com: домен перехода [email protected] не указывает 2001:4b98:dc4:8::230 в качестве разрешенного отправителя)

SPF проверяет на Обратный путь заголовок. Не почта от заголовок. Обратный путь является [email protected]. Поэтому записи SPF gmail.com не позволяют серверам Gandi отправлять электронную почту с использованием Обратный путь с адресами электронной почты gmail.com.

СПФ работает нормально. То, что вы видите, является присущей протоколу SPF слабостью в отношении пересылки почты. Когда почта пересылается на уровне MTA (почтового сервера), почта от и Обратный путь заголовки не перезаписываются (и не должны переписываться), но когда пересылаемая почта достигает почтового сервера получателя, она поступает с сервера пересылки, а не с исходного почтового сервера отправителя. Поэтому почтовый сервер получателя проверяет SPF и видит, что Обратный путь домен не разрешает пересылающему почтовому серверу отправлять почту.

Пересылка нарушает SPF. Поскольку вы не контролируете записи SPF для gmail.com домен, вы не можете разрешить серверам Gandi пересылать почту от имени Gmail.Вот почему SPF нельзя использовать отдельно, чтобы определить, авторизована почта или нет.

У вас есть четыре решения (я полагаю, что для вариантов 1 и 2 требуется платная учетная запись рабочей области Google):

  1. Убедитесь, что когда вы отправляете электронную почту из gmail, используя псевдоним адреса электронной почты, он также использует псевдоним электронной почты в Обратный путь заголовок. Также добавьте серверы gmail в запись SPF для мой домен.com. Для получения дополнительной информации об отправке электронной почты в качестве псевдонима с помощью Gmail см. здесь: https://support.google.com/mail/answer/22370?hl=ru
  2. Настройте свои записи MX и gmail, чтобы электронная почта, предназначенная для вашего псевдонима, отправлялась непосредственно на серверы gmail и в ваш почтовый ящик, а не пересылалась через третьих лиц.
  3. Получайте электронные письма, предназначенные на ваш псевдоним адреса электронной почты от третьей стороны, вместо пересылки сообщения. Затем настройте Gmail для получения этой электронной почты от третьей стороны с помощью Импорт электронной почты из моей другой учетной записи (POP3) вариант в гмейл.
  4. Если у вас есть контроль над поведением сервера переадресации электронной почты, вы можете создать правило, которое перезаписывает Обратный путь заголовок, соответствующий почта от заголовок, когда он пересылает электронную почту, которая получена и предназначена для одного из ваших псевдонимов электронной почты.
Richard avatar
флаг in
Спасибо за это. Я понял, что заголовок, который я включил, был на самом деле, когда мой брат написал мне по электронной почте, надеюсь, это не вызвало путаницы. Что касается конфигурации электронной почты, электронные письма отправляются с использованием функции Gmail «отправить как другой адрес», но для smtp-сервера я предоставляю данные собственного smtp-сервера gmail с моим именем пользователя и паролем gmail. Это удаляет «от имени» во всех электронных письмах, оставляя только мой тщеславный адрес.
Appleoddity avatar
флаг ng
@Richard, конечно, это вызвало замешательство. Пожалуйста, обновите свой пост с точной информацией.
Richard avatar
флаг in
Я обновил заголовки, хотя не уверен, что это дополнительная помощь, поскольку проблема остается той же независимо от того, отправляю ли я электронное письмо моему брату или наоборот. Я заметил, что SPF для `mydomain.com` вообще не проверяется, что заставляет меня задаться вопросом, действительно ли моя запись SPF что-то делает.
Appleoddity avatar
флаг ng
@ Ричард, хорошо. Я обновил свой ответ.
Richard avatar
флаг in
Спасибо за это. Я отправляю электронные письма через Gmail и SMTP-сервер Gmail (используя метод, указанный в предоставленной вами ссылке), и электронные письма приходят с «от» как [email protected]. Я не могу изменить `возвратный путь`, так как Gmail указывает, что это будет [email protected] - ограничение не платить за GSuite.
Appleoddity avatar
флаг ng
Я вижу это. @Richard Я снова обновил свой пост, чтобы прояснить проблему и предложить решения.
Richard avatar
флаг in
Спасибо, имеет смысл. Я думаю, что может быть 5-й вариант, который будет заключаться в использовании альтернативного SMTP-сервера для Gmail (например, Mailgun, SendGrid или Mailjet) для отправки электронных писем. Затем мой `возвратный путь` будет установлен как [email protected], и проверки SPF будут пройдены.
Appleoddity avatar
флаг ng
@ Ричард хороший вопрос. Я думаю, что gmail все еще может диктовать заголовок обратного пути, даже если использует сторонний smtp. Хотя попробовать стоит.
Рейтинг:0
флаг cn

Проблема в том, что одного SPF недостаточно для блокировки электронных писем, не прошедших аутентификацию. Даже хард фейл не сделал бы этого.

Это мотивировало разработку DMARC. При этом вы можете указать принимающим серверам (в том числе отправленным с внутреннего на внутренний) отклонять электронную почту, не прошедшую аутентификацию.

Вы можете узнать больше о hardfail и softfail и о том, почему DMARC является ответом здесь: https://knowledge.ondmarc.redsift.com/en/articles/1148885-spf-hard-fail-vs-spf-soft-fail

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.