Échec SPF et échec DKIM lorsque le destinataire a le transfert de courrier électronique

9

J'ai configuré le SPF hardfail pour mon domaine et la signature de message DKIM sur mon serveur SMTP. Comme il s'agit du seul serveur SMTP à utiliser pour le courrier sortant de mon domaine, je n'ai pas prévu de complications.

Cependant, considérez la situation suivante: J'ai envoyé un message électronique via mon serveur SMTP au courrier électronique de l'université de mon collègue. Le problème est que mon collègue transmet son e-mail universitaire à son compte GMail. Voici les en-têtes du message après qu'il atteigne sa boîte aux lettres GMail:

Received-SPF: échec (google.com: le domaine de [email protected] ne désigne pas 192.168.128.100 comme expéditeur autorisé) client-ip = 192.168.128.100;
Résultats d'authentification: mx.google.com; spf = hardfail (google.com: le domaine de [email protected] ne désigne pas 192.168.128.100 comme expéditeur autorisé) [email protected]; dkim = hardfail (mode test) [email protected]

(Les en-têtes ont été nettoyés pour protéger les domaines et les adresses IP des parties non Google)

GMail vérifie le dernier serveur SMTP de la chaîne de livraison par rapport à mes enregistrements SPF et DKIM (à juste titre). Étant donné que le dernier serveur STMP de la chaîne de livraison était le serveur de l'université et non mon serveur, la vérification entraîne un échec SPF et une défaillance DKIM. Heureusement, GMail n'a pas marqué le message comme spam, mais je crains que cela ne cause un problème à l'avenir.

Ma mise en œuvre de SPF hardfail est-elle peut-être trop stricte? Y a-t-il d'autres recommandations ou problèmes potentiels que je devrais connaître? Ou peut-être existe-t-il une configuration plus idéale pour la procédure de transfert de courrier électronique de l'université? Je sais que le serveur de transfert pourrait éventuellement changer l'expéditeur de l'enveloppe mais je vois que ça devient compliqué.

spf dkim domainkeys mail-forwarding email-server Belmin Fernandez
la source

Réponses:

5

Le serveur de transfert doit configurer SRS afin de ne pas casser votre SPF http://www.open-spf.org/srs/

topdog
la source
1
+1 Je lisais à ce sujet juste avant de recevoir la notification SF pour votre réponse. Malheureusement, je constate que le courrier de l'université (Mirapoint) ne prend pas en charge SRS. Vous vous demandez si le taux de mise en œuvre de SRS est juste très faible.
Belmin Fernandez
La plupart des fournisseurs qui transfèrent le courrier le mettent en œuvre, BlackBerry par exemple l'utilise pour réécrire votre adresse lorsque vous envoyez depuis votre appareil
topdog
0

Alors que le transfert ne rompt pas SPF (sans SRS), il ne rompt généralement pas DKIM. Il semble (sur la base dkim=hardfail (test mode)des résultats d'authentification de GMail) que le problème est que votre enregistrement de clé SPF ait l' t=yindicateur, indiquant qu'il est uniquement à des fins de test .

Andrew
la source