SPF Hardfail и DKIM сбой, когда получатель имеет пересылку электронной почты

9

Я настроил hardfail SPF для моего домена и подписи сообщений DKIM на моем SMTP-сервере. Поскольку это единственный SMTP-сервер, который следует использовать для исходящей почты с моего домена, я не предвидел никаких сложностей.

Однако рассмотрим следующую ситуацию: я отправил сообщение электронной почты через SMTP-сервер на электронную почту моего коллеги по университету. Проблема в том, что мой коллега перенаправляет его университетскую электронную почту на его учетную запись GMail. Это заголовки сообщения после того, как оно достигает своего почтового ящика GMail:

Получено-SPF: сбой (google.com: домен me@example.com не обозначает 192.168.128.100 в качестве разрешенного отправителя) client-ip = 192.168.128.100;
Результаты аутентификации: mx.google.com; spf = hardfail (google.com: домен me@example.com не назначает 192.168.128.100 разрешенным отправителем) smtp.mail=me@example.com; dkim = hardfail (тестовый режим) header.i=@example.com

(Заголовки были очищены для защиты доменов и IP-адресов сторонних разработчиков)

GMail проверяет последний SMTP-сервер в цепочке доставки на соответствие моим записям SPF и DKIM (справедливо). Поскольку последний STMP-сервер в цепочке доставки был сервером университета, а не моим сервером, проверка приводит к отказу SPF и отказу DKIM. К счастью, GMail не пометил сообщение как спам, но я обеспокоен тем, что это может вызвать проблемы в будущем.

Возможно, моя реализация SPF hardfail слишком строгая? Любые другие рекомендации или потенциальные проблемы, о которых я должен знать? Или, может быть, есть более идеальная конфигурация для пересылки электронной почты университета? Я знаю, что сервер пересылки может изменить отправителя конверта, но я вижу, что это становится беспорядочным.

Бельмин Фернандес
источник

Ответы:

5

Сервер пересылки должен настроить SRS, чтобы не нарушать ваш SPF http://www.open-spf.org/srs/

победитель
источник
1
+1 Я читал об этом прямо перед тем, как получил уведомление SF для вашего ответа. К сожалению, я вижу, что университетская почта (Mirapoint) не поддерживает SRS. Хотите знать, если уровень реализации SRS просто очень низок.
Бельмин Фернандес
Большинство провайдеров, которые пересылают почту, реализуют ее, например,
Blackberry
0

Хотя пересылка нарушает SPF (без SRS), обычно она не нарушает DKIM. Похоже (на основе dkim=hardfail (test mode)результатов аутентификации GMail) проблема в том, что ваша запись ключа SPF имеет t=yфлаг, указывающий, что это только для целей тестирования .

Эндрю
источник