服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 基于客户端IP而不是MTA IP的SPF检查?
Intereting Posts
什么是最适合高扩展性的分布式php应用程序的Amazon EC2服务器configuration? 暴发户脚本与命令行:为什么这种行为差异? Linux的useradd限制 访问被拒绝错误3221225578与文件共享到Windows服务器 “净用户”和通过控制面板添加用户有什么区别? 仅用xfs_freeze快照mdadm RAID是否安全? PsExec和xCmd 如何find不能公开访问的EC2实例 Apache服务器和目标服务器之间的Apache代理HTTP CONNECT方法握手失败 电子邮件+数据服务器的小公司需要? HAProxy nbsrv似乎给了错误的价值 UAC禁用时在pipe理员下运行应用程序 传播login信息的好方法,特别是在创build新用户的时候。 Robocopy作业,将文件从VM Windows 2003复制到Windows 2008 DFS Share(通过WAN) 强制closuresMDF文件

基于客户端IP而不是MTA IP的SPF检查?

build立

在IP地址为aaaa的客户端计算机上,有一个邮件客户端使用SMTP通过公司邮件服务器example.com使用IP地址bbbb发送电子邮件。

公司邮件服务器example.com有一个包含IP地址bbbb的SPFlogging。

问题

使用上述设置, 电子邮件将同时发送到常规Gmail地址address@gmail.com和Google应用程序地址address@another_example.com ,其地址为[email protected]

两个接收账户给出不同的SPF结果。

在Gmail中: 

Received-SPF: pass (google.com: domain of [email protected] designates bbbb as permitted sender) client-ip=bbbb;

但是,在Google Apps中: 

 Received-SPF: softfail (google.com: domain of transitioning [email protected] does not designate aaaa as permitted sender) client-ip=aaaa;

请注意,在失败的SPF检查中,Google Apps正在检查我的客户端IP地址aaaa的SPFlogging,而不是也不应将其添加到SPFlogging中。

如上所述,这只是发送到两个不同地址的单个电子邮件消息。

example.com的SPFlogging设置是否正确,常规gmail确认。 问题是为什么Google Apps会检查客户端IP aaaa?

额外

完整标题,如Gmail和Google Apps中所示:

Gmail的 

 Delivered-To: [email protected] Received: by 10.50.155.1 with SMTP id vs1csp2310853igb; Tue, 14 Apr 2015 13:24:07 -0700 (PDT) X-Received: by 10.202.184.3 with SMTP id i3mr12882037oif.61.1429043047220; Tue, 14 Apr 2015 13:24:07 -0700 (PDT) Return-Path: <[email protected]> Received: from mail.example.com (mail.example.com. [bbbb]) by mx.google.com with ESMTP id u128si1421479oig.11.2015.04.14.13.24.07 for <[email protected]>; Tue, 14 Apr 2015 13:24:07 -0700 (PDT) Received-SPF: pass (google.com: domain of [email protected] designates bbbb as permitted sender) client-ip=bbbb; Authentication-Results: mx.google.com; spf=pass (google.com: domain of [email protected] designates bbbb as permitted sender) [email protected] Received: from xxtld ([aaaa]) by mail.example.com (IBM Domino Release 9.0.1FP2 HF590) with ESMTP id 2015041415240678-1040231 ; Tue, 14 Apr 2015 15:24:06 -0500 From: [email protected] <[email protected]> Subject: test spf Message-Id: <[email protected]> Date: Tue, 14 Apr 2015 15:24:06 -0500 To: [email protected], address@another_example.com Mime-Version: 1.0 (Mac OS X Mail 8.2 \(2098\)) X-Mailer: Apple Mail (2.2098) X-MIMETrack: Itemize by SMTP Server on XXX(Release 9.0.1FP2 HF590|December 11, 2014) at 04/14/2015 03:24:06 PM, Serialize by Router on XXXX (Release 9.0.1FP2 HF590|December 11, 2014) at 04/14/2015 03:24:07 PM, Serialize complete at 04/14/2015 03:24:07 PM X-TNEFEvaluated: 1 Content-Transfer-Encoding: 7bit Content-Type: text/plain; charset=us-ascii

Google Apps: 

 Delivered-To: address@another_example.com Received: by 10.112.136.137 with SMTP id qa9csp2056333lbb; Tue, 14 Apr 2015 13:24:08 -0700 (PDT) X-Received: by 10.60.52.237 with SMTP id w13mr17898646oeo.58.1429043047841; Tue, 14 Apr 2015 13:24:07 -0700 (PDT) Return-Path: [email protected] Received: from mail.example.com (mail.example.com. [bbbb]) by mx.google.com with ESMTP id uv7si1397910obc.93.2015.04.14.13.24.07 for <address@another_example.com>; Tue, 14 Apr 2015 13:24:07 -0700 (PDT) Received-SPF: softfail (google.com: domain of transitioning [email protected] does not designate aaaa as permitted sender) client-ip=aaaa; Authentication-Results: mx.google.com; spf=softfail (google.com: domain of transitioning [email protected] does not designate aaaa as permitted sender) [email protected] Received: from xxtld ([aaaa]) by mail.example.com (IBM Domino Release 9.0.1FP2 HF590) with ESMTP id 2015041415240678-1040231 ; Tue, 14 Apr 2015 15:24:06 -0500 From: <[email protected]> Subject: test spf Message-Id: <[email protected]> Date: Tue, 14 Apr 2015 15:24:06 -0500 To: address@another_example.com, [email protected] Mime-Version: 1.0 (Mac OS X Mail 8.2 \(2098\)) X-Mailer: Apple Mail (2.2098) X-MIMETrack: Itemize by SMTP Server on XXX (Release 9.0.1FP2 HF590|December 11, 2014) at 04/14/2015 03:24:06 PM, Serialize by Router on XXX(Release 9.0.1FP2 HF590|December 11, 2014) at 04/14/2015 03:24:07 PM, Serialize complete at 04/14/2015 03:24:07 PM X-TNEFEvaluated: 1 Content-Transfer-Encoding: 7bit Content-Type: text/plain; charset=us-ascii

从我可以看到我相信问题是客户端电子邮件configuration。 它看起来像使用本地电子邮件服务器或该人的ISP邮件服务器,而不是直接与谷歌的SMTP服务器交谈。 根据线路

从mail.example.com收到xxtld([aaaa])(IBM Domino Release 9.0.1FP2 HF590)

这看起来像客户端通过其他电子邮件服务器发送电子邮件。 Google Apps日志是正确的。 该电子邮件不应该通过SPF检查。 但是,由于电子邮件被允许进入贵公司的电子邮件系统,因此无论如何都要经历这个过程。

这两项检查之所以不同,原因可能是Google Apps帐户的公司设置位于pipe理控制台“应用程序 – > Google Apps – > Gmail设置 – >高级设置”,然后在垃圾邮件标题下, “入站网关”将列出地址bbbb。 但是,如果地址bbbb是该域的MXlogging中的IP地址之一,则应该在那里列出,否则可能需要从那里删除,如果尚未存在,则将其放入SPFlogging。 这个设置在SPF检查中做了什么,它让Google知道它应该查看的IP地址可能会在bbbb地址之前的公共IP MTA跳跃中出现。

对于像我们这样使用我们自己的服务器的公司来说,这对我们的MXlogging非常有用,然后对于使用Google Apps电子邮件的员工,我们的服务器会将电子邮件直接发送到Google的服务器。 如果Google在这种情况下进行了常规的SPF检查,它会认为所有的电子邮件都是从bbbb的IP地址到达的,而SPF检查是无用的。

gmail收件人显示不同的原因是,不同的Google服务器处理该电子邮件,对“入站邮件网关”设置一无所知,只能看到电子邮件的最后一个公共IP MTA在跳转到Google服务器之前是bbbb

请参阅https://support.google.com/a/answer/60730?hl=zh-CN “入站邮件网关”上的Google帮助页

综上所述

修复客户端电子邮件设置以使用Google的SMTP服务器。 如果用户抱怨他们没有时间去修复它,那么通过将软失效改为彻底失败来阻止他们发送电子邮件来破坏他们的电子邮件。