O include:_spf.google.com
eventualmente adicionado é provavelmente o bit crítico aqui. Ele sinaliza os servidores do Google como remetentes legítimos de e-mail em seu nome.
Hoje percebemos que todos os nossos e-mails enviados para endereços de e-mail do tipo <username>@corporatedomain.com
estavam sendo rejeitados. Não sei quem está hospedando o email de corporatedomain.com
. Eu não acho que isso deva importar. De qualquer forma, o erro que estávamos recebendo foi
Technical details of permanent failure:
Google tried to deliver your message, but it was rejected by the server for the recipient domain example.com by mail.example.com. [yyy.yyy.yyy.230].
The error that the other server returned was:
550 5.7.1 Command rejected
mydomain.com
. O DNS para mydomain.com
teve o registro SPF v=spf1 mx include:spf.mailjet.com -all
. Dado o padrão de uso acima & Configuração do ambiente VPS, eu assumi que o SPF iria verificar corretamente (os registros MX apontam para o Google e estou usando seus servidores SMTP para enviar e-mail).
Pesquisando o erro realmente não levou a nada. Eventualmente eu tentei bombardear o problema, incluindo tudo o que eu conseguia pensar no SPF. E agora funciona. Legal! A entrada spf agora lê
v=spf1 include:_spf.google.com include:spf.mailjet.com ip4:xxx.xxx.xxx.143 ip4:xxx.xxx.xxx.144 mx ~all
Mas não tenho certeza porque funciona. Eu realmente não quero fazer um trial & error
para encontrar as configurações mínimas que funcionam para o domínio de destinatários. Deve haver uma especificação para essas coisas, certo? Afinal, todos os e-mails foram / estão sendo entregues a todos os usuários (não com e-mails pertencentes a corporatedomain.com
).
Suspeito que, na entrada atual do SPF, os mecanismos ip4
e mx
não são necessários. A documentação do Google recomenda o uso de include:_spf.google.com
em vez de mx
. Além disso, este termina com ~all
menos restritivo. O antigo SPF terminou com o altamente restritivo -all
. Alguém pode confirmar qual deve ser o registro SPF ideal para o meu caso de uso?
Nota: Configuramos a autenticação DKIM para mydomain.com
. Não sei se preciso configurar o DNS reverso. Acho que não, porque não estou "enviando" o e-mail, o servidor SMTP do Google Apps é. Por favor corrija-me se eu estiver errado.