Hardfail do SPF e falha de DKIM quando o destinatário tem encaminhamento de email

9

Configurei o SPF de falha grave no meu domínio e a assinatura de mensagens DKIM no meu servidor SMTP. Como este é o único servidor SMTP que deve ser usado para enviar e-mails do meu domínio, não previ complicações.

No entanto, considere a seguinte situação: Enviei uma mensagem de email por meio do meu servidor SMTP para o email da universidade do meu colega. O problema é que meu colega encaminha o email da universidade para a conta do GMail. Estes são os cabeçalhos da mensagem depois que ela chega à caixa de correio do GMail:

SPF recebido: falha (google.com: domínio [email protected] não designa 192.168.128.100 como remetente permitido) client-ip = 192.168.128.100;
Resultados da autenticação: mx.google.com; spf = falha constante (google.com: domínio [email protected] não designa 192.168.128.100 como remetente permitido) [email protected]; dkim = falha grave (modo de teste) [email protected]

(Os cabeçalhos foram limpos para proteger os domínios e endereços IP de terceiros que não pertencem ao Google)

O GMail verifica o último servidor SMTP da cadeia de entrega em relação aos meus registros SPF e DKIM (com razão). Como o último servidor STMP da cadeia de entrega era o servidor da universidade e não o meu, a verificação resulta em falha no SPF e falha no DKIM. Felizmente, o GMail não marcou a mensagem como spam, mas estou preocupado que isso possa causar um problema no futuro.

Minha implementação do hardfail do SPF talvez seja muito rigorosa? Quaisquer outras recomendações ou possíveis problemas que eu deva estar ciente? Ou talvez haja uma configuração mais ideal para o procedimento de encaminhamento de e-mail da universidade? Sei que o servidor de encaminhamento pode alterar o remetente do envelope, mas vejo que está ficando confuso.

spf dkim domainkeys mail-forwarding email-server Belmin Fernandez
fonte

Respostas:

5

O servidor de encaminhamento precisa configurar o SRS para não interromper seu SPF http://www.open-spf.org/srs/

melhor cão
fonte
1
+1 Eu estava lendo sobre isso logo antes de receber a notificação do SF para sua resposta. Infelizmente, vejo que o correio da universidade (Mirapoint) não suporta SRS. Pensando se a taxa de implementação do SRS é muito baixa.
Belmin Fernandez 29/09/10
A maioria dos provedores que correio para a frente fazer a implementam, amora-preta, por exemplo, usa-o para reescrever o seu endereço quando você enviar a partir do seu dispositivo
topdog
0

Embora o encaminhamento interrompa o SPF (sem o SRS), ele normalmente não interrompe o DKIM. Parece que (com base dkim=hardfail (test mode)nos resultados de autenticação do GMail) o problema é que seu registro de chave SPF tem a t=ybandeira, indicando que é apenas para fins de teste .

Andrew
fonte