Verificação de SPF com base no IP do cliente em vez do IP do MTA?

Navegue suas respostas
3

Configuração

Em um computador cliente com endereço IP aaaa , há um cliente de e-mail que usa SMTP para enviar e-mails por meio do servidor de e-mail da empresa example.com com endereço IP bbbb .

O servidor de e-mail da empresa example.com tem um registro SPF que inclui o endereço IP b.b.b.b .

Problema

Usando a configuração acima, um e-mail é enviado com um endereço do Gmail regular endereç[email protected] e um endereço do Google Apps endereço@another_example.com , com o endereço de [email protected] .

As duas contas de recebimento fornecem resultados de SPF diferentes.

No Gmail: 

Received-SPF: pass (google.com: domain of [email protected] designates b.b.b.b as permitted sender) client-ip=b.b.b.b;

No entanto, no Google Apps: 

Received-SPF: softfail (google.com: domain of transitioning [email protected] does not designate a.a.a.a as permitted sender) client-ip=a.a.a.a;

Observe que, nas verificações de SPF com falha, o Google Apps verifica o registro SPF em relação ao endereço IP do meu cliente a.a.a.a, que não é e não deve ser adicionado ao registro SPF.

Como dito acima, esta é apenas uma única mensagem de e-mail enviada para dois endereços diferentes.

Pergunta

Não deve haver dúvidas se o registro SPF está configurado corretamente para example.com, e o Gmail regular o confirma. A pergunta é por que o Google Apps verifica o IP do cliente a.a.a.a?

Extra

Conclua o cabeçalho conforme mostrado no Gmail e no Google Apps:

Gmail 

Delivered-To: [email protected]
Received: by 10.50.155.1 with SMTP id vs1csp2310853igb;
    Tue, 14 Apr 2015 13:24:07 -0700 (PDT)
X-Received: by 10.202.184.3 with SMTP id i3mr12882037oif.61.1429043047220;
    Tue, 14 Apr 2015 13:24:07 -0700 (PDT)
Return-Path: <[email protected]>
Received: from mail.example.com (mail.example.com. [b.b.b.b])
    by mx.google.com with ESMTP id u128si1421479oig.11.2015.04.14.13.24.07
    for <[email protected]>;
    Tue, 14 Apr 2015 13:24:07 -0700 (PDT)
Received-SPF: pass (google.com: domain of [email protected] designates b.b.b.b as permitted sender) client-ip=b.b.b.b;
Authentication-Results: mx.google.com;
   spf=pass (google.com: domain of [email protected] designates b.b.b.b as permitted sender) [email protected]
Received: from x.x.tld ([a.a.a.a])
      by mail.example.com (IBM Domino Release 9.0.1FP2 HF590)
      with ESMTP id 2015041415240678-1040231 ;
      Tue, 14 Apr 2015 15:24:06 -0500 
From: [email protected] <[email protected]>
Subject: test spf
Message-Id: <[email protected]>
Date: Tue, 14 Apr 2015 15:24:06 -0500
To: [email protected], address@another_example.com
Mime-Version: 1.0 (Mac OS X Mail 8.2 \(2098\))
X-Mailer: Apple Mail (2.2098)
X-MIMETrack: Itemize by SMTP Server on XXX(Release 9.0.1FP2 HF590|December 11, 2014) at
     04/14/2015 03:24:06 PM,
Serialize by Router on XXXX (Release 9.0.1FP2 HF590|December 11, 2014) at
     04/14/2015 03:24:07 PM,
Serialize complete at 04/14/2015 03:24:07 PM
X-TNEFEvaluated: 1
Content-Transfer-Encoding: 7bit
Content-Type: text/plain; charset=us-ascii

Google Apps: 

Delivered-To: address@another_example.com
Received: by 10.112.136.137 with SMTP id qa9csp2056333lbb;
    Tue, 14 Apr 2015 13:24:08 -0700 (PDT)
X-Received: by 10.60.52.237 with SMTP id w13mr17898646oeo.58.1429043047841;
    Tue, 14 Apr 2015 13:24:07 -0700 (PDT)
Return-Path: [email protected]
Received: from mail.example.com (mail.example.com. [b.b.b.b])
    by mx.google.com with ESMTP id uv7si1397910obc.93.2015.04.14.13.24.07
    for <address@another_example.com>;
    Tue, 14 Apr 2015 13:24:07 -0700 (PDT)
Received-SPF: softfail (google.com: domain of transitioning [email protected] does not designate a.a.a.a as permitted sender) client-ip=a.a.a.a;
Authentication-Results: mx.google.com;
   spf=softfail (google.com: domain of transitioning [email protected] does not designate a.a.a.a as permitted sender) [email protected]
Received: from x.x.tld ([a.a.a.a])
      by mail.example.com (IBM Domino Release 9.0.1FP2 HF590)
      with ESMTP id 2015041415240678-1040231 ;
      Tue, 14 Apr 2015 15:24:06 -0500 
From: <[email protected]>
Subject: test spf
Message-Id: <[email protected]>
Date: Tue, 14 Apr 2015 15:24:06 -0500
To: address@another_example.com, [email protected]
Mime-Version: 1.0 (Mac OS X Mail 8.2 \(2098\))
X-Mailer: Apple Mail (2.2098)
X-MIMETrack: Itemize by SMTP Server on XXX (Release 9.0.1FP2 HF590|December 11, 2014) at
     04/14/2015 03:24:06 PM,
Serialize by Router on XXX(Release 9.0.1FP2 HF590|December 11, 2014) at
     04/14/2015 03:24:07 PM,
Serialize complete at 04/14/2015 03:24:07 PM
X-TNEFEvaluated: 1
Content-Transfer-Encoding: 7bit
Content-Type: text/plain; charset=us-ascii
    
por Livy Li 14.04.2015 / 23:01

1 resposta

2

Pelo que vejo, acredito que o problema é a configuração de e-mail do cliente. Parece que ele está usando um servidor de e-mail local ou os servidores de e-mail do ISP dessa pessoa, em vez de falar diretamente com os servidores SMTP do google. Baseado nas linhas

Received: from x.x.tld ([a.a.a.a]) by mail.example.com (IBM Domino Release 9.0.1FP2 HF590)

Parece que o cliente está enviando e-mail por meio de outro servidor de e-mail. Os registros do Google Apps estão corretos. O email não deve passar na verificação do SPF. No entanto, como o e-mail é permitido no sistema de e-mail da sua empresa, ele progride de qualquer maneira.

O motivo pelo qual as duas verificações são diferentes provavelmente se deve ao fato de a conta do Google Apps da empresa ter uma configuração localizada no Admin Console "Aplicativos - > Google Apps - > Configurações do Gmail - > Configurações avançadas" o endereço de spam da configuração chamada "Gateway de Entrada" terá o endereço bbbb listado. No entanto, se o endereço b.b.b.b for um dos IPs no registro MX do domínio, ele deverá estar listado lá, caso contrário, ele provavelmente precisará ser removido de lá e colocado o registro SPF, se ainda não estiver. O que essa configuração faz com a verificação de SPF é que ela permite que o Google saiba que o endereço IP que deveria estar procurando poderia vir no anterior salto público IP MTA antes desse endereço b.b.b.b.

Isso é útil para empresas como a nossa, que usam nossos próprios servidores como em nosso registro MX e, em seguida, para a equipe que usa o e-mail do Google Apps, nossos servidores direcionam o e-mail para os servidores do Google. Se o Google fizesse uma verificação regular do SPF nesse caso, pensaria que todos os e-mails estavam chegando do endereço IP, como b.b.b.b, e a verificação do SPF seria inútil.

O motivo pelo qual o destinatário do Gmail mostra isso é que diferentes servidores do Google processam aquele e-mail que não sabe nada da configuração "Entrada de e-mail de entrada" e só vêem o último IP público do MTA antes dos servidores do Google ser b.b.b.b.

Consulte a página de ajuda do Google no "Inbound Mail Gateway" aqui link

Em resumo

Corrija as configurações de e-mail do cliente para usar os servidores SMTP do Google. Se o usuário reclamar que não tem tempo para consertá-lo, divida o e-mail bloqueando-o, alterando o softfail para uma falha completa.

    
por 02.09.2016 / 01:52

Tags

Como garantir que o arquivo na pasta da VM seja copiado com a VM ao clonar a VMWare Virtual Machine Como obtenho firewalld para restringir o acesso a todos, exceto endereços IP especificados?