SPF-Hardfail- und DKIM-Fehler, wenn der Empfänger eine E-Mail-Weiterleitung hat

9

Ich habe den Hardfail-SPF für meine Domain- und DKIM-Nachrichtensignatur auf meinem SMTP-Server konfiguriert. Da dies der einzige SMTP-Server ist, der für ausgehende E-Mails von meiner Domain verwendet werden sollte, habe ich keine Komplikationen vorhergesehen.

Beachten Sie jedoch die folgende Situation: Ich habe über meinen SMTP-Server eine E-Mail-Nachricht an die Universitäts-E-Mail meines Kollegen gesendet. Das Problem ist, dass mein Kollege seine Universitäts-E-Mail an sein GMail-Konto weiterleitet. Dies sind die Header der Nachricht, nachdem sie seine GMail-Mailbox erreicht hat:

Received-SPF: fail (google.com: Domain von [email protected] bestimmt 192.168.128.100 nicht als zulässigen Absender) client-ip = 192.168.128.100;
Authentifizierungsergebnisse: mx.google.com; spf = hardfail (google.com: Domain von [email protected] bezeichnet 192.168.128.100 nicht als zulässigen Absender) [email protected]; dkim = Hardfail (Testmodus) [email protected]

(Header wurden bereinigt, um die Domains und IP-Adressen der Nicht-Google-Parteien zu schützen.)

GMail vergleicht den letzten SMTP-Server in der Lieferkette mit meinen SPF- und DKIM-Datensätzen (zu Recht). Da der letzte STMP-Server in der Lieferkette der Server der Universität und nicht mein Server war, führt die Überprüfung zu einem SPF-Hardfail- und DKIM-Fehler. Glücklicherweise hat GMail die Nachricht nicht als Spam markiert, aber ich befürchte, dass dies in Zukunft ein Problem verursachen könnte.

Ist meine Implementierung von SPF Hardfail vielleicht zu streng? Gibt es weitere Empfehlungen oder mögliche Probleme, die mir bekannt sein sollten? Oder gibt es eine idealere Konfiguration für das E-Mail-Weiterleitungsverfahren der Universität? Ich weiß, dass der Weiterleitungsserver möglicherweise den Absender des Umschlags ändern könnte, aber ich sehe, dass dies unordentlich wird.

Belmin Fernandez
quelle

Antworten:

5

Der Weiterleitungsserver muss SRS einrichten, um Ihren SPF nicht zu beschädigen. Http://www.openspf.org/SRS

Platzhirsch
quelle
1
+1 Ich habe darüber gelesen, kurz bevor ich die SF-Benachrichtigung für Ihre Antwort erhalten habe. Leider sehe ich, dass die Mail der Universität (Mirapoint) SRS nicht unterstützt. Ich frage mich, ob die Implementierungsrate von SRS nur sehr niedrig ist.
Belmin Fernandez
Die meisten Anbieter, die E-Mails weiterleiten, implementieren sie. Blackberry verwendet sie beispielsweise, um Ihre Adresse neu zu schreiben, wenn Sie von Ihrem Gerät aus senden
Topdog
0

Während die Weiterleitung SPF (ohne SRS) unterbricht, bricht DKIM normalerweise nicht. Es sieht so aus, als ob (basierend auf dkim=hardfail (test mode)den Authentifizierungsergebnissen von GMail) das Problem darin besteht, dass Ihr SPF-Schlüsseldatensatz das t=yFlag hat, was darauf hinweist, dass es nur zu Testzwecken dient .

Andrew
quelle