include: _spf.google.com não é suficiente para o hotmail

Navegue suas respostas
2

Meu spf é 

neland.dk descriptive text "v=spf1 a:mail6.paradiss.dk a:min.moar.dk 
a:arnold.neland.dk include:_spf.google.com -all"

Eu recebo este erro ao enviar de gmail.com como [email protected] 

Technical details of permanent failure:
Google tried to deliver your message, but it was rejected by the server for 
the recipient domain hotmail.com by mx4.hotmail.com. [65.55.37.72].

The error that the other server returned was:
550 5.7.0 (COL0-MC1-F16) Unfortunately, messages from (209.85.219.42) on 
behalf of  (neland.dk ) could not be delivered due to domain owner policy restrictions.

_spf.google.com inclui 

_spf.google.com descriptive text "v=spf1 include:_netblocks.google.com
include:_netblocks2.google.com include:_netblocks3.google.com ~all"

que contém 209.85.219.42

Então por que o hotmail não aceita meu e-mail? Eu também tenho DKIM e DMARC para neland.dk 

_dmarc.neland.dk descriptive text "v=DMARC1\; p=reject\; rua=mailto:[email protected]"

O meu DKIM importa se o e-mail não está assinado pelo meu próprio servidor, mas pelo Google?

    
por Lenne 14.01.2014 / 10:08

2 respostas

0

Eu fiz isso, então deixei o Google enviar o e-mail do meu próprio servidor de e-mail, pois aparentemente não consigo definir a chave privada ou obter a chave pública para google._domainkey.neland.dk sem o Google Apps for Business.

Agora, meu próprio servidor assina o e-mail.

    
por 14.01.2014 / 22:01
5

"restrição de política" é fundamental aqui. Seu registro DMARC solicita que todas as mensagens não verificadas que dizem ser do seu domínio sejam rejeitadas. (%código%). Essa é a política que está sendo honrada neste caso.

Como você deve saber, existem 3 conceitos de validação de identidade semelhantes, mas distintos, em reprodução aqui:

  1. Validação da remetente legitimidade (SPF)
  2. Integridade da mensagem de validação garantida por um signatário (DKIM)
  3. Validação do acima em relação ao autor (DMARC)

A validação de DMARC é "tudo ou nada" (se qualquer um dos remetentes ou signatários estiver comprometido, a validação de autoria é inútil). De a especificação DMARC (§3.4) :

DMARC has no "short-circuit" provision, such as specifying that a pass from one authentication test allows one to skip the other(s). All are required for reporting.

Agora, sobre sua pergunta:

"Does my DKIM matter if the mail is not signed by my own server, but by google's?"

Bem, sim, então de repente importa. O Hotmail agora precisa descobrir se o autor ("[email protected]") deu mandato ao domínio signatário. As informações necessárias para validar este mandato não existem e, portanto, a mensagem "não pôde ser entregue devido às restrições da política do proprietário do domínio".

Basta gerar uma chave DKIM para o GMail usar para assinar mensagens enviadas como p=reject e verificar se a chave do GMail está publicada no DNS.

O Gmail sempre assina mensagens usando o prefixo do seletor "Google", portanto, a chave precisa ser publicada em neland.dk - agora, quando o MX em google._domainkey.neland.dk recebe uma inscrição do GMail, ele pode verificar usando ambos mecanismos (SPF e DKIM) e não terá que rejeitar a mensagem.

Felizmente, o Google criou um guia passo-a-passo para proprietários de domínio sobre a implementação do DKIM no GMail / Apps:

Suporte do Google: autenticar e-mail com o DKIM

    
por 14.01.2014 / 10:44

Tags

redireciona para index.html.var Como remover todas as mensagens da fila de mensagens exim de um determinado usuário / email