Échec de Gmail SPF en fonction de l'adresse IP du client

Gmail échoue à la vérification SPF en fonction de l'adresse IP du client. Ce sont les en-têtes pertinents:

Received-SPF: fail (google.com: domain of [email protected] does not designate 164.77.240.58 as permitted sender) client-ip=164.77.240.58;
Received: from johndoe (unknown [164.77.240.58])
    by mail.example.com (Postfix) with ESMTP id 993643FE2D

L'IP client (164.77.240.58) est l'IP de l'ordinateur de johndoe. L'adresse IP de l'expéditeur, l'adresse IP de mail.example.com, est incluse dans l'enregistrement SPF.

Pourquoi Gmail échoue-t-il en fonction de l'adresse IP du client au lieu de l'adresse IP de l'expéditeur? Est-ce ainsi que SPF est censé fonctionner?

Commencez par extraire l'enregistrement spf d'exemple.com:

$ dig -t spf mail.example.com

Vérifiez que example.com figure sur la liste des expéditeurs. Votre enregistrement spf devrait ressembler à ceci:

"v=spf1 a:mail.example.com a:cname.example.com -all"

Prenez tous les noms de domaine répertoriés et effectuez une recherche DNS sur eux pour obtenir les adresses IP:

$ dig mail.example.com

Ensuite, effectuez une recherche PTR pour obtenir le nom DNS inverse de l'IP:

$ dig -x XX.XX.XX.XX

La recherche IP inversée doit correspondre à l'un des enregistrements répertoriés dans l'enregistrement spf. Il serait cependant utile de commencer par l'enregistrement spf afin que nous puissions voir ce qui se passe.

Oui, Google identifierait correctement la panne SPF. L'adresse IP qui doit être vérifiée est l'adresse qui se connecte au serveur de messagerie de Google. Comme il n'y a pas d'en-tête reçu pour Google, je soupçonne que votre serveur de messagerie vérifie SPF sur la connexion. Il doit uniquement vérifier SPF pour les connexions non authentifiées à partir d'Internet. Les connexions locales et les connexions authentifiées doivent contourner la validation SPF.

SPF est destiné à garantir que l'ordinateur expéditeur est autorisé par le domaine expéditeur. Normalement, un domaine aurait 1 ou 2 serveurs de messagerie qui gèrent tous les e-mails envoyés ou reçus depuis Internet. Ces adresses doivent être celles répertoriées dans l'enregistrement SPF du domaine.

Dans ce cas, johndoesemble se connecter au serveur de messagerie du domaine. Si le serveur n'est pas sur le réseau du domaine, il est courant d'utiliser une connexion authentifiée sur le port de soumission (587). Le serveur de messagerie doit ensuite transmettre le message à gmail et SPF doit passer. Si SPF échoue toujours, l'enregistrement SPF doit être corrigé pour inclure l'IP du serveur de messagerie. Plusieurs mécanismes peuvent être utilisés.

Ma politique de messagerie électronique garantit que tous les messages légitimes envoyés depuis mon domaine passeront SPF. Il existe certains services qui transfèrent des messages au nom de mes utilisateurs qui échoueront SPF. Cependant, les échecs enregistrés que j'ai reçus de serveurs validant DMARCsont tous des spammeurs.