SPF 检查基于客户端 IP 而不是 MTA IP?

SPF 检查基于客户端 IP 而不是 MTA IP?

设置

在具有 IP 地址的客户端计算机上啊啊啊,有一个邮件客户端使用 SMTP 通过公司电子邮件服务器发送电子邮件示例.com带有 IP 地址bbbb

公司电子邮件服务器示例.com有包含 IP 地址的 SPF 记录bbbb

问题

使用上述设置,一封电邮发送一个普通的 Gmail 地址[电子邮件保护]以及 Google 应用地址address@another_example.com,发件人地址为[电子邮件保护]

两个接收账户给出不同的 SPF 结果。

在 Gmail 中:

Received-SPF: pass (google.com: domain of [email protected] designates b.b.b.b as permitted sender) client-ip=b.b.b.b;

然而,在 Google Apps 中:

Received-SPF: softfail (google.com: domain of transitioning [email protected] does not designate a.a.a.a as permitted sender) client-ip=a.a.a.a;

请注意,在失败的 SPF 检查中,Google Apps 正在根据我的客户端 IP 地址 aaaa 检查 SPF 记录,该地址不应该添加到 SPF 记录中。

如上所述,这只是发送到两个不同地址的一封电子邮件。

问题

SPF 记录是否正确设置为 example.com 应该没有问题,常规 gmail 可以确认这一点。问题是 Google Apps 为什么要检查客户端 IP aaaa?

额外的

完整标头如 Gmail 和 Google Apps 中所示:

Gmail

Delivered-To: [email protected]
Received: by 10.50.155.1 with SMTP id vs1csp2310853igb;
    Tue, 14 Apr 2015 13:24:07 -0700 (PDT)
X-Received: by 10.202.184.3 with SMTP id i3mr12882037oif.61.1429043047220;
    Tue, 14 Apr 2015 13:24:07 -0700 (PDT)
Return-Path: <[email protected]>
Received: from mail.example.com (mail.example.com. [b.b.b.b])
    by mx.google.com with ESMTP id u128si1421479oig.11.2015.04.14.13.24.07
    for <[email protected]>;
    Tue, 14 Apr 2015 13:24:07 -0700 (PDT)
Received-SPF: pass (google.com: domain of [email protected] designates b.b.b.b as permitted sender) client-ip=b.b.b.b;
Authentication-Results: mx.google.com;
   spf=pass (google.com: domain of [email protected] designates b.b.b.b as permitted sender) [email protected]
Received: from x.x.tld ([a.a.a.a])
      by mail.example.com (IBM Domino Release 9.0.1FP2 HF590)
      with ESMTP id 2015041415240678-1040231 ;
      Tue, 14 Apr 2015 15:24:06 -0500 
From: [email protected] <[email protected]>
Subject: test spf
Message-Id: <[email protected]>
Date: Tue, 14 Apr 2015 15:24:06 -0500
To: [email protected], address@another_example.com
Mime-Version: 1.0 (Mac OS X Mail 8.2 \(2098\))
X-Mailer: Apple Mail (2.2098)
X-MIMETrack: Itemize by SMTP Server on XXX(Release 9.0.1FP2 HF590|December 11, 2014) at
     04/14/2015 03:24:06 PM,
Serialize by Router on XXXX (Release 9.0.1FP2 HF590|December 11, 2014) at
     04/14/2015 03:24:07 PM,
Serialize complete at 04/14/2015 03:24:07 PM
X-TNEFEvaluated: 1
Content-Transfer-Encoding: 7bit
Content-Type: text/plain; charset=us-ascii

Google 应用:

Delivered-To: address@another_example.com
Received: by 10.112.136.137 with SMTP id qa9csp2056333lbb;
    Tue, 14 Apr 2015 13:24:08 -0700 (PDT)
X-Received: by 10.60.52.237 with SMTP id w13mr17898646oeo.58.1429043047841;
    Tue, 14 Apr 2015 13:24:07 -0700 (PDT)
Return-Path: [email protected]
Received: from mail.example.com (mail.example.com. [b.b.b.b])
    by mx.google.com with ESMTP id uv7si1397910obc.93.2015.04.14.13.24.07
    for <address@another_example.com>;
    Tue, 14 Apr 2015 13:24:07 -0700 (PDT)
Received-SPF: softfail (google.com: domain of transitioning [email protected] does not designate a.a.a.a as permitted sender) client-ip=a.a.a.a;
Authentication-Results: mx.google.com;
   spf=softfail (google.com: domain of transitioning [email protected] does not designate a.a.a.a as permitted sender) [email protected]
Received: from x.x.tld ([a.a.a.a])
      by mail.example.com (IBM Domino Release 9.0.1FP2 HF590)
      with ESMTP id 2015041415240678-1040231 ;
      Tue, 14 Apr 2015 15:24:06 -0500 
From: <[email protected]>
Subject: test spf
Message-Id: <[email protected]>
Date: Tue, 14 Apr 2015 15:24:06 -0500
To: address@another_example.com, [email protected]
Mime-Version: 1.0 (Mac OS X Mail 8.2 \(2098\))
X-Mailer: Apple Mail (2.2098)
X-MIMETrack: Itemize by SMTP Server on XXX (Release 9.0.1FP2 HF590|December 11, 2014) at
     04/14/2015 03:24:06 PM,
Serialize by Router on XXX(Release 9.0.1FP2 HF590|December 11, 2014) at
     04/14/2015 03:24:07 PM,
Serialize complete at 04/14/2015 03:24:07 PM
X-TNEFEvaluated: 1
Content-Transfer-Encoding: 7bit
Content-Type: text/plain; charset=us-ascii

答案1

据我所知,我认为问题出在客户端的电子邮件配置上。它似乎正在使用本地电子邮件服务器或该人的 ISP 邮件服务器,而不是直接与 Google 的 SMTP 服务器通信。根据以下几行

已收到:来自 xxtld ([aaaa]),发件人为 mail.example.com(IBM Domino 版本 9.0.1FP2 HF590)

看起来客户端正在通过其他电子邮件服务器发送电子邮件。Google Apps 日志是正确的。该电子邮件不应通过 SPF 检查。但是,由于该电子邮件被允许进入贵公司的电子邮件系统,因此它无论如何都会通过。

两次检查不同的原因可能是因为公司的 Google Apps 帐户在管理控制台中有一个设置“应用程序 -> Google Apps -> Gmail 设置 --> 高级设置”,然后在垃圾邮件标题下名为“入站网关”的设置将列出地址 bbbb。但是,如果地址 bbbb 是域的 MX 记录中的 IP 之一,则应该将其列在那里,否则可能需要将其从那里删除并放入 SPF 记录中(如果尚未列出)。此设置对 SPF 检查的作用是让 Google 知道它应该查看的 IP 地址可能位于该 bbbb 地址之前的上一个公共 IP MTA 跳转上。

这对于像我们这样的公司很有用,他们使用我们自己的服务器(如我们的 MX 记录),然后对于使用 Google Apps 电子邮件的员工,我们的服务器会将电子邮件直接发送到 Google 的服务器。如果 Google 在这种情况下定期进行 SPF 检查,它会认为所有电子邮件都来自 bbbb 之类的 IP 地址,SPF 检查将毫无用处。

Gmail 收件人显示不同的原因是,不同的 Google 服务器处理该电子邮件,它们对“入站邮件网关”设置一无所知,并且只看到该电子邮件在 Google 服务器之前的最后一个公共 IP MTA 跳跃是 bbbb

请参阅此处有关“入站邮件网关”的 Google 帮助页面https://support.google.com/a/answer/60730?hl=en

总之

修复客户端电子邮件设置以使用 Google 的 SMTP 服务器。如果用户抱怨他们没有时间修复它,则通过将软失败更改为彻底失败来阻止他们发送电子邮件,从而破坏他们的电子邮件。

相关内容