Configurando SPF, DKIM, DNS reverso para VPS enviando e-mail por meio dos servidores SMTP do Google Apps

1

Hoje percebemos que todos os nossos e-mails enviados para endereços de e-mail do tipo <username>@corporatedomain.com estavam sendo rejeitados. Não sei quem está hospedando o email de corporatedomain.com . Eu não acho que isso deva importar. De qualquer forma, o erro que estávamos recebendo foi

Technical details of permanent failure:
Google tried to deliver your message, but it was rejected by the server for the recipient domain example.com by mail.example.com. [yyy.yyy.yyy.230].

The error that the other server returned was:
550 5.7.1 Command rejected
  • Temos uma conta do Google Apps para mydomain.com . O DNS para mydomain.com teve o registro SPF v=spf1 mx include:spf.mailjet.com -all .
  • Estamos usando o servidor SMTP do Google Apps para enviar e-mails transacionais com meu aplicativo. Estamos usando a conta mailjet para enviar e-mails de marketing em massa.
  • Como o e-mail desse domínio é gerenciado pelo Google Apps, todos os registros MX apontam para os aplicativos padrão do Google app.
  • Meu VPS tem dois endereços IP públicos. Eu não tenho um servidor SMTP instalado no meu VPS. Eu envio e-mails de dentro do meu VPS usando APENAS o servidor SMTP do Google Apps.
  • Apenas os e-mails enviados pelo servidor SMTP do aplicativo do Google foram bloqueados. Os da Mailjet foram bem entregues.

Dado o padrão de uso acima & Configuração do ambiente VPS, eu assumi que o SPF iria verificar corretamente (os registros MX apontam para o Google e estou usando seus servidores SMTP para enviar e-mail).

Pesquisando o erro realmente não levou a nada. Eventualmente eu tentei bombardear o problema, incluindo tudo o que eu conseguia pensar no SPF. E agora funciona. Legal! A entrada spf agora lê

v=spf1 include:_spf.google.com include:spf.mailjet.com ip4:xxx.xxx.xxx.143 ip4:xxx.xxx.xxx.144 mx ~all

Mas não tenho certeza porque funciona. Eu realmente não quero fazer um trial & error para encontrar as configurações mínimas que funcionam para o domínio de destinatários. Deve haver uma especificação para essas coisas, certo? Afinal, todos os e-mails foram / estão sendo entregues a todos os usuários (não com e-mails pertencentes a corporatedomain.com ).

Suspeito que, na entrada atual do SPF, os mecanismos ip4 e mx não são necessários. A documentação do Google recomenda o uso de include:_spf.google.com em vez de mx . Além disso, este termina com ~all menos restritivo. O antigo SPF terminou com o altamente restritivo -all . Alguém pode confirmar qual deve ser o registro SPF ideal para o meu caso de uso?

Nota: Configuramos a autenticação DKIM para mydomain.com . Não sei se preciso configurar o DNS reverso. Acho que não, porque não estou "enviando" o e-mail, o servidor SMTP do Google Apps é. Por favor corrija-me se eu estiver errado.

    
por Amith George 05.11.2013 / 18:10

1 resposta

3

O include:_spf.google.com eventualmente adicionado é provavelmente o bit crítico aqui. Ele sinaliza os servidores do Google como remetentes legítimos de e-mail em seu nome.

    
por 05.11.2013 / 18:16