O GMAIL está falhando incorretamente no SPF?

3

0365 usuários de e-mail são incentivados a usar : spf.protection.outlook.com -all em seu registro SPF.

Eu segui esta orientação. O registro da minha empresa diz:
v = spf1 incluem: spf.protection.outlook.com -all

o registro spf.protection.outlook.com termina com include: spfa.protection.outlook.com -all que termina com include: spfb.protection.outlook.com

Cada uma dessas inclusões possui um conjunto de CIDRs para IPs usados pelo outlook.com ao enviar e-mails.

No entanto, estou recebendo relatórios do DMARC do google.com indicando uma FALHA DO SPF para um IP que, na verdade, é coberto por um dos includes no registro SPF. Eu acho que isso é incorreto, ainda está acontecendo com freqüência.

Aqui está um exemplo:

    source_ip>104.47.117.233</source_ip>

<count>1</count>


-<policy_evaluated>

<disposition>none</disposition>

<dkim>pass</dkim>

<spf>fail</spf>

o ip rejeitado é parte do ip4: 104.47.0.0/17 que faz parte do registro spfb.protection.outlook:

spfb.protection.outlook.com. 394 IN TXT "v = spf1 ip6: 2a01: 111: f400 :: / 48 ip4: 23.103.128.0/19 ip4: 23.103.198.0/23 ip4: 65.55.88.0/24 ip4: 104.47.0.0/17 ip4: 23.103.200.0/21 ip4: 23.103.208.0/21 ip4: 23.103.191.0/24 ip4: 216.32.180.0/23 ip4: 94.245.120.64/26 -tudo "

Então, por que o servidor de e-mail do Google está tratando isso como uma falha de SPF?

Este não é um exemplo isolado - recebo notificações frequentes de falha de SPF em relação a IPs incluídos no registro SPF.

    
por OzPHB 03.02.2018 / 04:39

1 resposta

2

Eu percebi isso. Não é de surpreender que eu tenha interpretado mal o relatório, e não o Google, que estava errando a implementação do DMARC:)

O resultado do SPF na seção de política avaliada pela qual eu estava sendo confundido (cópia postada no OP) é o resultado do SPF avaliado pelo DMARC após considerando o alinhamento.

Esta citação aqui explica a questão:

Please note that the SPF and DKIM results in the auth_results are raw results, regardless of Identifier Alignment; he results of the DMARC evaluation with Identifier Alignment are in the policy_evaluated section.

Eu verifiquei o resto do registro e descobri que os resultados raw para o mesmo registro foram, corretamente, SPF.

Então, o que o relatório DMARC estava me dizendo era que, embora o resultado do SPF fosse de outlook.com (e, portanto, era um 'passe' bruto), o cabeçalho do caminho de retorno não correspondia ao meu domínio de envio, que produz um DMARC avaliação falha do SPF. Outra referência aqui .

Basicamente, não tente ler os relatórios XML diretamente - eles são difíceis para os humanos! Encontrei este DMARC analisador xml que faz um trabalho fabuloso de permitir que você veja claramente o que o relatório DMARC está tentando lhe dizer.

    
por 04.02.2018 / 07:43