Google Mail schlägt die SPF-Prüfung basierend auf der Client-IP fehl. Dies sind die relevanten Überschriften:
Received-SPF: fail (google.com: domain of [email protected] does not designate 164.77.240.58 as permitted sender) client-ip=164.77.240.58;
Received: from johndoe (unknown [164.77.240.58])
by mail.example.com (Postfix) with ESMTP id 993643FE2D
Die Client-IP (164.77.240.58) ist die IP von Johndoes Computer. Die Absender-IP, die IP von mail.example.com, ist im SPF-Datensatz enthalten.
Warum schlägt Google Mail basierend auf der Client-IP anstelle der Absender-IP fehl? Soll SPF so funktionieren?
Receivedvon Google Mail hinzugefügten Header einfügen, um zu klären, woher die E-Mails tatsächlich stammen?by <google IP>Antworten:
Ziehen Sie zunächst den SPF-Datensatz von example.com:
Stellen Sie sicher, dass example.com in der Absenderliste aufgeführt ist. Ihr SPF-Datensatz sollte ungefähr so aussehen:
Nehmen Sie alle aufgelisteten Domainnamen und führen Sie eine DNS-Suche durch, um die IP-Adressen zu erhalten:
Führen Sie dann eine PTR-Suche durch, um den umgekehrten DNS-Namen für die IP zu erhalten:
Die umgekehrte IP-Suche sollte mit einem der im SPF-Datensatz aufgeführten Datensätze übereinstimmen. Es wäre jedoch hilfreich, mit dem SPF-Datensatz zu beginnen, damit wir sehen können, was los ist.
quelle
dig example.com TXT. Ich glaube auch nicht, dass die umgekehrte Suche einen Unterschied für SPF macht, solange der SPF-Datensatz dieptrMethode nicht verwendet.Ja, Google würde den SPF-Fehler korrekt identifizieren. Die zu überprüfende IP-Adresse ist die Adresse, die eine Verbindung zum Mail-Server von Google herstellt. Da für Google kein Header empfangen wurde, vermute ich, dass Ihr Mailserver den SPF für die Verbindung überprüft. SPF sollte nur auf nicht authentifizierte Verbindungen aus dem Internet überprüft werden. Lokale Verbindungen und authentifizierte Verbindungen sollten die SPF-Validierung umgehen.
SPF soll sicherstellen, dass der sendende Computer von der sendenden Domäne zugelassen wird. Normalerweise verfügt eine Domain über 1 oder 2 Mailserver, die alle E-Mails verarbeiten, die an das Internet gesendet oder von diesem empfangen werden. Diese Adressen sollten diejenigen sein, die im SPF-Datensatz für die Domäne aufgeführt sind.
In diesem Fall
johndoescheint eine Verbindung zum Mailserver der Domäne hergestellt zu werden. Wenn sich der Server nicht im Netzwerk der Domäne befindet, wird häufig eine authentifizierte Verbindung am Übermittlungsport verwendet (587). Der Mailserver sollte die Nachricht dann an Google Mail weiterleiten und SPF sollte übergeben werden. Wenn SPF immer noch fehlschlägt, muss der SPF-Datensatz korrigiert werden, um die IP des Mailservers einzuschließen. Es gibt verschiedene Mechanismen, die verwendet werden können.Meine E-Mail-Richtlinie stellt sicher, dass alle legitimen E-Mails, die von meiner Domain gesendet werden, den SPF passieren. Es gibt einige Dienste, die Nachrichten im Namen meiner Benutzer weiterleiten, bei denen der SPF fehlschlägt. Die aufgezeichneten Fehler, die ich von Servern zur Validierung erhalten habe,
DMARCsind jedoch alle Spammer.quelle