Ich habe eine Vanity-Domain (mydomain.com), die von Gandi gehostet wird und mit E-Mail-Aliassen für meine Familie konfiguriert ist, die auf unsere jeweiligen Gmail-Adressen verweisen:
Alias | Echte Adresse |
---|---|
[email geschützt] | [email geschützt] |
[email geschützt] | [email geschützt] |
und so weiter.
Gmail ist so konfiguriert, dass E-Mails über die Vanity-Adresse gesendet werden. Außerdem habe ich einen SPF-Eintrag eingerichtet:
v=spf1 include:_spf.google.com include:_spf.gpaas.net include:_mailcust.gandi.net ?all
Obwohl mail-tester.com meldet, dass der SPF korrekt eingerichtet ist, kann es beim Senden einer E-Mail von [irgendjemand]@meinedomain.com an [irgendjemand anderes]@meinedomain.com zu einem SOFTFAIL kommen:
Gesendet von | Gesendet an | SPF-Ergebnis der E-Mail |
---|---|---|
[email geschützt] | [email geschützt] | PASSIEREN |
[email geschützt] | [email geschützt] | PASSIEREN |
[email geschützt] | [email geschützt] | PASSIEREN |
[email geschützt] | [email geschützt] | SOFTFAIL |
Die Header bei einem SOFTFAIL der E-Mail lauten wie folgt:
Delivered-To: [email protected]
ARC-Authentication-Results: i=1; mx.google.com;
spf=softfail (google.com: domain of transitioning [email protected] does not designate 2001:4b98:dc4:8::230 as permitted sender) [email protected]
Return-Path: <[email protected]>
Received: from relay10.mail.gandi.net (relay10.mail.gandi.net. [2001:4b98:dc4:8::230])
by mx.google.com with ESMTPS id w4-20020a05600018c400b0020ac7a84cb7si9021160wrq.441.2022.05.01.02.22.05
for <[email protected]>
(version=TLS1_2 cipher=ECDHE-ECDSA-CHACHA20-POLY1305 bits=256/256);
Sun, 01 May 2022 02:22:06 -0700 (PDT)
Received-SPF: softfail (google.com: domain of transitioning [email protected] does not designate 2001:4b98:dc4:8::230 as permitted sender) client-ip=2001:4b98:dc4:8::230;
Authentication-Results: mx.google.com;
spf=softfail (google.com: domain of transitioning [email protected] does not designate 2001:4b98:dc4:8::230 as permitted sender) [email protected]
Received: from spool.mail.gandi.net (spool3.mail.gandi.net [217.70.178.212]) by relay.mail.gandi.net (Postfix) with ESMTPS id 51151240003 for <[email protected]>; Sun,
1 May 2022 09:22:05 +0000 (UTC)
X-Envelope-To: [email protected]
Received: from mail-lf1-f48.google.com (mail-lf1-f48.google.com [209.85.167.48]) by spool.mail.gandi.net (Postfix) with ESMTPS id 49A2CAC0C45 for <[email protected]>; Sun,
1 May 2022 09:22:04 +0000 (UTC)
Received: by mail-lf1-f48.google.com with SMTP id w19so20836346lfu.11
for <[email protected]>; Sun, 01 May 2022 02:22:04 -0700 (PDT)
Received: from smtpclient.apple (cpc1-sotn14-2-0-cust79.15-1.cable.virginm.net. [81.96.148.80])
by smtp.gmail.com with ESMTPSA id r7-20020a2e8e27000000b0024f3d1dae9asm761964ljk.34.2022.05.01.02.22.02
for <[email protected]>
(version=TLS1_3 cipher=TLS_AES_128_GCM_SHA256 bits=128/128);
Sun, 01 May 2022 02:22:02 -0700 (PDT)
From: Me <[email protected]>
To: My Brother <[email protected]>
Received-SPF: pass (spool3: domain of gmail.com designates 209.85.167.48 as permitted sender) client-ip=209.85.167.48; [email protected]; helo=mail-lf1-f48.google.com;
Authentication-Results: spool.mail.gandi.net; dkim=none; dmarc=none; spf=pass (spool.mail.gandi.net: domain of [email protected] designates 209.85.167.48 as permitted sender) [email protected]
Gibt es eine Möglichkeit, zu verhindern, dass E-Mails, die von mydomain.com an eine andere Adresse bei mydomain.com gesendet werden, bei SPF durchfallen?
Antwort1
Sie können sehen, dass die E-Mail von einem Gandi-Server empfangen wurde:
Received: from relay10.mail.gandi.net (relay10.mail.gandi.net. [2001:4b98:dc4:8::230])
Sie können sehen, dass die Gandi-Server im SPF-Eintrag nicht autorisiert sind:
Received-SPF: softfail (google.com: domain of transitioning [email protected] does not designate 2001:4b98:dc4:8::230 as permitted sender)
SPF prüft den return-path
Header. Nicht den mailfrom
Header. Der return-path
ist [email protected]
. Daher erlauben SPF-Einträge von gmail.com Gandi-Servern nicht, E-Mails return-path
mit gmail.com-E-Mail-Adressen zu senden.
SPF funktioniert normal. Was Sie sehen, ist eine inhärente Schwäche des SPF-Protokolls in Bezug auf die E-Mail-Weiterleitung. Wenn E-Mails auf MTA-Ebene (Mailserver) weitergeleitet werden, werden die - mailfrom
und return-path
-Header nicht neu geschrieben (und das sollten sie auch nicht), aber wenn die weitergeleitete E-Mail den E-Mail-Server des Empfängers erreicht, kommt sie vom Weiterleitungsserver und nicht vom ursprünglichen E-Mail-Server des Absenders. Daher überprüft der E-Mail-Server des Empfängers SPF und stellt fest, dass die return-path
Domäne den Weiterleitungs-E-Mail-Server nicht zum Senden von E-Mails autorisiert.
Durch Weiterleiten wird SPF unterbrochen. Da Sie die SPF-Einträge für die Domäne nicht kontrollieren gmail.com
, können Sie Gandi-Server nicht autorisieren, E-Mails im Namen von Gmail weiterzuleiten. Aus diesem Grund kann SPF nicht allein verwendet werden, um zu bestimmen, ob E-Mails autorisiert sind oder nicht.
Sie haben vier Lösungen (für Option 1 und 2 ist meines Wissens ein kostenpflichtiges Google Workspace-Konto erforderlich):
- Stellen Sie sicher, dass beim Senden von E-Mails von Gmail mit einer Alias-E-Mail-Adresse auch der E-Mail-Alias im
return-path
Header verwendet wird. Fügen Sie außerdem die Gmail-Server zum SPF-Eintrag für hinzumydomain.com
. Weitere Informationen zum Senden von E-Mails als Alias mit Gmail finden Sie hier:https://support.google.com/mail/answer/22370?hl=de - Konfigurieren Sie Ihre MX-Einträge und Gmail so, dass E-Mails an Ihren Alias direkt an die Server von Gmail und in Ihren Posteingang gesendet werden, anstatt sie über Dritte weiterzuleiten.
- Empfangen Sie E-Mails, die an Ihre Alias-E-Mail-Adresse bei dem Drittanbieter gerichtet sind, anstatt die Nachricht weiterzuleiten. Konfigurieren Sie Gmail dann so, dass diese E-Mails vom Drittanbieter mithilfe derE-Mails von meinem anderen Konto importieren (POP3)Option in Gmail.
- Wenn Sie Kontrolle über das Verhalten des weiterleitenden E-Mail-Servers haben, können Sie eine Regel erstellen, die den
return-path
Header so umschreibt, dass er mit dem Header übereinstimmtmailfrom
, wenn E-Mails weitergeleitet werden, die von einem Ihrer E-Mail-Aliase empfangen werden und an diesen gerichtet sind.
Antwort2
DasMaiaufgrund eines gemeldeten Fehlers bei Gmail
Ich glaube nicht, dass es gelöst ist, obwohl einige Poster von Erfolgen berichten.
Antwort3
Das Problem ist, dass SPF allein nicht als ausreichend angesehen wird, um E-Mails zu stoppen, deren Authentifizierung fehlschlägt. Selbst ein Hard Fail würde das nicht schaffen.
Dies war der Grund für die Entwicklung von DMARC. Damit können Sie Empfangsserver (auch solche, die von intern an intern gesendet werden) anweisen, E-Mails abzulehnen, die die Authentifizierung nicht bestehen.
Mehr zu Hardfail vs. Softfail und warum DMARC die Antwort ist, können Sie hier lesen:https://knowledge.ondmarc.redsift.com/en/articles/1148885-spf-hard-fail-vs-spf-soft-fail