Falha do SPF do Gmail com base no IP do cliente

7

O Gmail está com falha na verificação do SPF com base no IP do cliente. Estes são os cabeçalhos relevantes:

Received-SPF: fail (google.com: domain of [email protected] does not designate 164.77.240.58 as permitted sender) client-ip=164.77.240.58;
Received: from johndoe (unknown [164.77.240.58])
    by mail.example.com (Postfix) with ESMTP id 993643FE2D

O IP do cliente (164.77.240.58) é o IP do computador de johndoe. O IP do remetente, o IP de mail.example.com, está incluído no registro SPF.

Por que o Gmail está falhando com base no IP do cliente em vez do IP do remetente? É assim que o SPF deve funcionar?

    
por Max Toro 30.12.2014 / 01:10

2 respostas

3

Primeiro, puxe o registro spf de example.com:

$ dig -t spf mail.example.com

Verifique se example.com está na lista de remetentes. Seu registro spf deve ser algo como isto:

"v=spf1 a:mail.example.com a:cname.example.com -all"

Pegue os nomes de domínio listados e faça uma pesquisa de DNS para obter os endereços IP:

$ dig mail.example.com

Então faça um PTR procurar para obter o nome DNS reverso para o IP:

$ dig -x XX.XX.XX.XX

A pesquisa inversa de IP deve corresponder a um dos registros listados no registro spf. Seria útil começar com o registro spf, para que possamos ver o que está acontecendo.

    
por 30.12.2014 / 02:11
2

Sim, o Google estaria correto em identificar a falha do SPF. O endereço IP que deve ser verificado é o endereço que está se conectando ao servidor de e-mail do Google. Como não há cabeçalho recebido para o Google, suspeito que o seu servidor de e-mail está verificando o SPF na conexão. Ele só deve verificar o SPF para conexões não autenticadas da Internet. Conexões locais e conexões autenticadas devem ignorar a validação do SPF.

O SPF destina-se a garantir que o computador de envio seja permitido pelo domínio de envio. Normalmente, um domínio teria 1 ou 2 servidores de e-mail que lidam com todos os e-mails enviados ou recebidos da Internet. Esses endereços devem ser os listados no registro SPF do domínio.

Nesse caso, johndoe parece estar se conectando ao servidor de e-mail do domínio. Se o servidor não estiver na rede do domínio, é comum usar uma conexão autenticada na porta de envio (587). O servidor de e-mail deve então encaminhar a mensagem para o gmail e o SPF deve passar. Se o SPF ainda falhar, o registro SPF precisará ser corrigido para incluir o IP do servidor de email. Existem vários mecanismos que podem ser usados.

Minha Política de e-mail garante que todos os e-mails legítimos enviados do meu domínio passem pelo SPF. Existem alguns serviços que encaminham mensagens em nome dos meus usuários que falharão no SPF. No entanto, as falhas registradas que recebi dos servidores que validam DMARC são spammers.

    
por 30.12.2014 / 03:32

Tags