Регистрация Войти
Рейтинг:0
Richard avatar Server

Могу ли я остановить SPF SOFTFAIL в Gmail при отправке на адреса и с адресов, у которых есть псевдоним почты?

флаг in
Richard

У меня есть домен тщеславия (mydomain.com), размещенный Ганди и настроенный с почтовыми псевдонимами для моей семьи, которые указывают на наши соответствующие адреса Gmail:

Псевдоним Реальный адрес
я@мойдомен.com me5678@gmail.com
мой брат@мойдомен.com брат1234@gmail.com

и так далее.

Gmail настроен на отправку электронной почты в качестве личного адреса, и у меня также настроена запись SPF:

v=spf1 включает:_spf.google.com включает:_spf.gpaas.net включает:_mailcust.gandi.net ?все

Хотя mail-tester.com сообщает, что SPF настроен правильно, можно получить SOFTFAIL при отправке электронного письма с адреса [любой]@mydomain.com на [любой]@mydomain.com:

Отправлено из Отправлено SPF-результат электронной почты
me5678@gmail.com брат1234@gmail.com ПРОХОДЯТ
me5678@gmail.com мой брат@мойдомен.com ПРОХОДЯТ
я@мойдомен.com брат1234@gmail.com ПРОХОДЯТ
я@мойдомен.com мой брат@мойдомен.com СОФТФЕЙЛ

Заголовки, когда электронная почта SOFTFAILs выглядит следующим образом:

Кому доставлено: Brother1234@gmail.com
ARC-Аутентификация-Результаты: i=1; mx.google.com;
       spf=softfail (google.com: домен перехода me5678@gmail.com не указывает 2001:4b98:dc4:8::230 в качестве разрешенного отправителя) smtp.mailfrom=me5678@gmail.com
Возвратный путь: <me5678@gmail.com>
Получено: от relay10.mail.gandi.net (relay10.mail.gandi.net. [2001:4b98:dc4:8::230])
        от mx.google.com с идентификатором ESMTPS w4-20020a05600018c400b0020ac7a84cb7si9021160wrq.441.2022.05.01.02.22.05
        для <brother1234@gmail.com>
        (версия=TLS1_2, шифр=ECDHE-ECDSA-CHACHA20-POLY1305, биты=256/256);
        Вс, 01 мая 2022 г., 02:22:06 -07:00 (PDT)
Received-SPF: softfail (google.com: домен перехода me5678@gmail.com не указывает 2001:4b98:dc4:8::230 в качестве разрешенного отправителя) client-ip=2001:4b98:dc4:8::230;
Результаты аутентификации: mx.google.com;
       spf=softfail (google.com: домен перехода me5678@gmail.com не указывает 2001:4b98:dc4:8::230 в качестве разрешенного отправителя) smtp.mailfrom=me5678@gmail.com
Получено: от spool.mail.gandi.net (spool3.mail.gandi.net [217.70.178.212]) через relay.mail.gandi.net (Postfix) с идентификатором ESMTPS 51151240003 для <brother1234@gmail.com>; Солнце,
  1 мая 2022 г. 09:22:05 +0000 (UTC)
X-конверт-кому: mybrother@mydomain.com
Получено: от mail-lf1-f48.google.com (mail-lf1-f48.google.com [209.85.167.48]) через spool.mail.gandi.net (Postfix) с идентификатором ESMTPS 49A2CAC0C45 для <mybrother@mydomain.com >; Солнце,
  1 мая 2022 г. 09:22:04 +0000 (UTC)
Получено: по почте-lf1-f48.google.com с SMTP-идентификатором w19so20836346lfu.11
        для <mybrother@mydomain.com>; Вс, 01 мая 2022 г., 02:22:04 -07:00 (PDT)
Получено: от smtpclient.apple (cpc1-sotn14-2-0-cust79.15-1.cable.virginm.net. [81.96.148.80])
        от smtp.gmail.com с идентификатором ESMTPSA r7-20020a2e8e27000000b0024f3d1dae9asm761964ljk.34.2022.05.01.02.22.02
        для <mybrother@mydomain.com>
        (версия = TLS1_3, шифр = TLS_AES_128_GCM_SHA256, биты = 128/128);
        Вс, 01 мая 2022 г., 02:22:02 -07:00 (PDT)
От кого: я <me@mydomain.com>
Кому: Мой брат <mybrother@mydomain.com>
Received-SPF: pass (spool3: домен gmail.com назначает 209.85.167.48 разрешенным отправителем) client-ip=209.85.167.48; конверт-от=me5678@gmail.com; helo=mail-lf1-f48.google.com;
Результаты аутентификации: spool.mail.gandi.net; дким=нет; dmarc=нет; spf=pass (spool.mail.gandi.net: домен me5678@gmail.com обозначает 209.85.167.48 в качестве разрешенного отправителя) smtp.mailfrom=me5678@gmail.com

Можно ли каким-либо образом остановить отправку электронных писем с mydomain.com на другой адрес mydomain.com с ошибкой SPF?

96
0 + 0
Рейтинг:1
Appleoddity avatar Server
флаг ng
Appleoddity

Вы можете видеть, что почта была получена с сервера Gandi:

Получено: от relay10.mail.gandi.net (relay10.mail.gandi.net. [2001:4b98:dc4:8::230])

Вы можете видеть, что серверы Gandi не авторизованы в записи SPF:

Received-SPF: softfail (google.com: домен перехода me5678@gmail.com не указывает 2001:4b98:dc4:8::230 в качестве разрешенного отправителя)

SPF проверяет на Обратный путь заголовок. Не почта от заголовок. Обратный путь является me5678@gmail.com. Поэтому записи SPF gmail.com не позволяют серверам Gandi отправлять электронную почту с использованием Обратный путь с адресами электронной почты gmail.com.

СПФ работает нормально. То, что вы видите, является присущей протоколу SPF слабостью в отношении пересылки почты. Когда почта пересылается на уровне MTA (почтового сервера), почта от и Обратный путь заголовки не перезаписываются (и не должны переписываться), но когда пересылаемая почта достигает почтового сервера получателя, она поступает с сервера пересылки, а не с исходного почтового сервера отправителя. Поэтому почтовый сервер получателя проверяет SPF и видит, что Обратный путь домен не разрешает пересылающему почтовому серверу отправлять почту.

Пересылка нарушает SPF. Поскольку вы не контролируете записи SPF для gmail.com домен, вы не можете разрешить серверам Gandi пересылать почту от имени Gmail.Вот почему SPF нельзя использовать отдельно, чтобы определить, авторизована почта или нет.

У вас есть четыре решения (я полагаю, что для вариантов 1 и 2 требуется платная учетная запись рабочей области Google):

  1. Убедитесь, что когда вы отправляете электронную почту из gmail, используя псевдоним адреса электронной почты, он также использует псевдоним электронной почты в Обратный путь заголовок. Также добавьте серверы gmail в запись SPF для мой домен.com. Для получения дополнительной информации об отправке электронной почты в качестве псевдонима с помощью Gmail см. здесь: https://support.google.com/mail/answer/22370?hl=ru
  2. Настройте свои записи MX и gmail, чтобы электронная почта, предназначенная для вашего псевдонима, отправлялась непосредственно на серверы gmail и в ваш почтовый ящик, а не пересылалась через третьих лиц.
  3. Получайте электронные письма, предназначенные на ваш псевдоним адреса электронной почты от третьей стороны, вместо пересылки сообщения. Затем настройте Gmail для получения этой электронной почты от третьей стороны с помощью Импорт электронной почты из моей другой учетной записи (POP3) вариант в гмейл.
  4. Если у вас есть контроль над поведением сервера переадресации электронной почты, вы можете создать правило, которое перезаписывает Обратный путь заголовок, соответствующий почта от заголовок, когда он пересылает электронную почту, которая получена и предназначена для одного из ваших псевдонимов электронной почты.
0 + 0
Richard avatar
флаг in
Richard
Спасибо за это. Я понял, что заголовок, который я включил, был на самом деле, когда мой брат написал мне по электронной почте, надеюсь, это не вызвало путаницы. Что касается конфигурации электронной почты, электронные письма отправляются с использованием функции Gmail «отправить как другой адрес», но для smtp-сервера я предоставляю данные собственного smtp-сервера gmail с моим именем пользователя и паролем gmail. Это удаляет «от имени» во всех электронных письмах, оставляя только мой тщеславный адрес.
0
Ответить
Appleoddity avatar
флаг ng
Appleoddity
@Richard, конечно, это вызвало замешательство. Пожалуйста, обновите свой пост с точной информацией.
0
Ответить
Richard avatar
флаг in
Richard
Я обновил заголовки, хотя не уверен, что это дополнительная помощь, поскольку проблема остается той же независимо от того, отправляю ли я электронное письмо моему брату или наоборот. Я заметил, что SPF для `mydomain.com` вообще не проверяется, что заставляет меня задаться вопросом, действительно ли моя запись SPF что-то делает.
0
Ответить
Appleoddity avatar
флаг ng
Appleoddity
@ Ричард, хорошо. Я обновил свой ответ.
0
Ответить
Richard avatar
флаг in
Richard
Спасибо за это. Я отправляю электронные письма через Gmail и SMTP-сервер Gmail (используя метод, указанный в предоставленной вами ссылке), и электронные письма приходят с «от» как me@mydomain.com. Я не могу изменить `возвратный путь`, так как Gmail указывает, что это будет me5678@gmail.com - ограничение не платить за GSuite.
0
Ответить
Appleoddity avatar
флаг ng
Appleoddity
Я вижу это. @Richard Я снова обновил свой пост, чтобы прояснить проблему и предложить решения.
0
Ответить
Richard avatar
флаг in
Richard
Спасибо, имеет смысл. Я думаю, что может быть 5-й вариант, который будет заключаться в использовании альтернативного SMTP-сервера для Gmail (например, Mailgun, SendGrid или Mailjet) для отправки электронных писем. Затем мой `возвратный путь` будет установлен как me@mydomain.com, и проверки SPF будут пройдены.
0
Ответить
Appleoddity avatar
флаг ng
Appleoddity
@ Ричард хороший вопрос. Я думаю, что gmail все еще может диктовать заголовок обратного пути, даже если использует сторонний smtp. Хотя попробовать стоит.
0
Ответить
Рейтинг:0
avatar Server
флаг cn
ricknroll

Проблема в том, что одного SPF недостаточно для блокировки электронных писем, не прошедших аутентификацию. Даже хард фейл не сделал бы этого.

Это мотивировало разработку DMARC. При этом вы можете указать принимающим серверам (в том числе отправленным с внутреннего на внутренний) отклонять электронную почту, не прошедшую аутентификацию.

Вы можете узнать больше о hardfail и softfail и о том, почему DMARC является ответом здесь: https://knowledge.ondmarc.redsift.com/en/articles/1148885-spf-hard-fail-vs-spf-soft-fail

0 + 0
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.