Mi registro SPF aparentemente impide que un retransmisor de correo reenvíe mi mensaje

tag-icon tag-icon email spf
Mi registro SPF aparentemente impide que un retransmisor de correo reenvíe mi mensaje

Recientemente configuré mi propio servidor de correo en mi VPS (CentOS, postfix y dovecot, aunque no creo que nada de eso sea relevante). Lo he protegido con este registro SPF

v=spf1 mx a ip4:xx.xx.xx.xx/32 -all

donde xx.xx.xx.xx es la dirección IP de mi casa.

Generalmente esto funciona, pero hay un destinatario al que no he podido enviar correos. Recibo un rebote de la siguiente manera:

Reporting-MTA: dns; mdfmta004.tbr.inty.net
X-Postfix-Queue-ID: 5016BA0C08A
X-Postfix-Sender: rfc822; (my email address)
Arrival-Date: Tue, 17 May 2016 13:51:34 +0100 (BST)

Final-Recipient: rfc822; (destination email address)
Original-Recipient: (destination email address)
Action: failed
Status: 5.0.0
Remote-MTA: dns; mxa.speednames.com
Diagnostic-Code: smtp; 550 "Mail from (my domain) is denied from host
    91.221.168.45 SPF"

Es bastante justo que rechace el correo de 91.221.168.45, ya que esa dirección IP no coincide con mi registro SPF. Pero esa dirección se resuelve en mdfmta004.mxout.tbr.inty.net: está en el mismo dominio que el MTA que la rechaza.

¿Alguien puede explicarme qué debo hacer para poder enviar a este destinatario?

Respuesta1

SPF es una buena herramienta a la hora de definir quién puede enviar en nombre de sus nombres de dominio. Desafortunadamente, hay un problema cuando se reenvían correos electrónicos.

Digamos que su servidor de correo es A. Usted envía un correo electrónico a un dominio alojado en el servidor de correo B. A figura en su registro SPF como remitente autorizado. Cuando el destinatario en B decide reenviar mensajes a otra cuenta de correo en el servidor C, el registro SPF se evaluará cuando C reciba el correo electrónico. Normalmente, la dirección del remitente no se cambia al reenviar un correo electrónico. En consecuencia, el servidor de correo C comprobará si B está autorizado a enviar en nombre de su dominio.

Básicamente, esto es lo que puedes hacer:

1) Habla con el destinatario y hazle consciente del problema. En lugar de reenviar, configurar un sondeo en C para buscar en el buzón de B puede ser una opción

2) Si el destinatario es alguien a quien no puede pedirle que haga cambios y necesita enviarle correos electrónicos con frecuencia, puede agregar el servidor de correo B a su registro SPF. Esto implica que confías en que B nunca abusará de esa constelación. Esto se denomina "reenviador de confianza" en el contexto de SPF.

Servicios comerciales como mi empresa - verhttp://spf.guru/- permite monitorear SPF y obtener una descripción general de quién envía en su nombre.

información relacionada