Tengo un dominio personalizado (midominio.com) alojado por Gandi y configurado con alias de correo para mi familia que apuntan a nuestras respectivas direcciones de Gmail:
| Alias | dirección real |
|---|---|
| [correo electrónico protegido] | [correo electrónico protegido] |
| [correo electrónico protegido] | [correo electrónico protegido] |
etcétera.
Gmail está configurado para enviar correo electrónico como dirección personalizada y también tengo un registro SPF configurado:
v=spf1 include:_spf.google.com include:_spf.gpaas.net include:_mailcust.gandi.net ?all
Aunque mail-tester.com informa que el SPF está configurado correctamente, es posible obtener un SOFTFAIL al enviar un correo electrónico desde [cualquier persona]@midominio.com a [cualquier otra persona]@midominio.com:
| Enviado desde | Enviado a | Resultado SPF del correo electrónico |
|---|---|---|
| [correo electrónico protegido] | [correo electrónico protegido] | APROBAR |
| [correo electrónico protegido] | [correo electrónico protegido] | APROBAR |
| [correo electrónico protegido] | [correo electrónico protegido] | APROBAR |
| [correo electrónico protegido] | [correo electrónico protegido] | SOFTFAIL |
Los encabezados cuando los SOFTFAILs de correo electrónico son los siguientes:
Delivered-To: [email protected]
ARC-Authentication-Results: i=1; mx.google.com;
spf=softfail (google.com: domain of transitioning [email protected] does not designate 2001:4b98:dc4:8::230 as permitted sender) [email protected]
Return-Path: <[email protected]>
Received: from relay10.mail.gandi.net (relay10.mail.gandi.net. [2001:4b98:dc4:8::230])
by mx.google.com with ESMTPS id w4-20020a05600018c400b0020ac7a84cb7si9021160wrq.441.2022.05.01.02.22.05
for <[email protected]>
(version=TLS1_2 cipher=ECDHE-ECDSA-CHACHA20-POLY1305 bits=256/256);
Sun, 01 May 2022 02:22:06 -0700 (PDT)
Received-SPF: softfail (google.com: domain of transitioning [email protected] does not designate 2001:4b98:dc4:8::230 as permitted sender) client-ip=2001:4b98:dc4:8::230;
Authentication-Results: mx.google.com;
spf=softfail (google.com: domain of transitioning [email protected] does not designate 2001:4b98:dc4:8::230 as permitted sender) [email protected]
Received: from spool.mail.gandi.net (spool3.mail.gandi.net [217.70.178.212]) by relay.mail.gandi.net (Postfix) with ESMTPS id 51151240003 for <[email protected]>; Sun,
1 May 2022 09:22:05 +0000 (UTC)
X-Envelope-To: [email protected]
Received: from mail-lf1-f48.google.com (mail-lf1-f48.google.com [209.85.167.48]) by spool.mail.gandi.net (Postfix) with ESMTPS id 49A2CAC0C45 for <[email protected]>; Sun,
1 May 2022 09:22:04 +0000 (UTC)
Received: by mail-lf1-f48.google.com with SMTP id w19so20836346lfu.11
for <[email protected]>; Sun, 01 May 2022 02:22:04 -0700 (PDT)
Received: from smtpclient.apple (cpc1-sotn14-2-0-cust79.15-1.cable.virginm.net. [81.96.148.80])
by smtp.gmail.com with ESMTPSA id r7-20020a2e8e27000000b0024f3d1dae9asm761964ljk.34.2022.05.01.02.22.02
for <[email protected]>
(version=TLS1_3 cipher=TLS_AES_128_GCM_SHA256 bits=128/128);
Sun, 01 May 2022 02:22:02 -0700 (PDT)
From: Me <[email protected]>
To: My Brother <[email protected]>
Received-SPF: pass (spool3: domain of gmail.com designates 209.85.167.48 as permitted sender) client-ip=209.85.167.48; [email protected]; helo=mail-lf1-f48.google.com;
Authentication-Results: spool.mail.gandi.net; dkim=none; dmarc=none; spf=pass (spool.mail.gandi.net: domain of [email protected] designates 209.85.167.48 as permitted sender) [email protected]
¿Hay alguna manera de evitar que los correos electrónicos enviados desde midominio.com a otra dirección en midominio.com no tengan SPF?
Respuesta1
Puedes ver que el correo se recibió desde un servidor Gandi:
Received: from relay10.mail.gandi.net (relay10.mail.gandi.net. [2001:4b98:dc4:8::230])
Puedes ver que los servidores de Gandi no están autorizados en el registro SPF:
Received-SPF: softfail (google.com: domain of transitioning [email protected] does not designate 2001:4b98:dc4:8::230 as permitted sender)
El SPF se compara con el return-pathencabezado. No el mailfromencabezado. El return-pathes [email protected]. Por lo tanto, los registros SPF de gmail.com no permiten que los servidores de Gandi envíen correos electrónicos utilizando return-pathdirecciones de correo electrónico de gmail.com.
El SPF funciona normalmente. Lo que está viendo es una debilidad inherente al protocolo SPF con respecto al reenvío de correo. Cuando el correo se reenvía en el nivel MTA (servidor de correo), los encabezados mailfromy return-pathno se reescriben (ni deberían hacerlo), pero cuando el correo reenviado llega al servidor de correo electrónico del destinatario, proviene del servidor de reenvío y no del original del remitente. servidor de correo electrónico. Por lo tanto, el servidor de correo electrónico del destinatario verifica el SPF y ve que el return-pathdominio no autoriza al servidor de correo electrónico de reenvío a enviar correo.
El reenvío rompe el SPF. Como no controlas los registros SPF del gmail.comdominio, no puedes autorizar a los servidores de Gandi a reenviar correo en nombre de Gmail. Es por eso que el SPF no se puede utilizar por sí solo para determinar si el correo está autorizado o no.
Tiene cuatro soluciones (creo que las opciones 1 y 2 requieren una cuenta paga de Google Workspace):
- Asegúrese de que cuando envíe un correo electrónico desde Gmail utilizando una dirección de correo electrónico alias, también utilice el alias de correo electrónico en el
return-pathencabezado. Agregue también los servidores de Gmail al registro SPF paramydomain.com. Para obtener más información sobre cómo enviar correos electrónicos como alias con Gmail, consulte aquí:https://support.google.com/mail/answer/22370?hl=en - Configure sus registros MX y Gmail para que el correo electrónico destinado a su alias se envíe directamente a los servidores de Gmail y a su bandeja de entrada, en lugar de reenviarlos a través de un tercero.
- Reciba correos electrónicos destinados a su dirección de correo electrónico alias del tercero, en lugar de reenviar el mensaje. Luego configure Gmail para recopilar ese correo electrónico del tercero utilizando elImportar correos electrónicos de mi otra cuenta (POP3)opción en gmail.
- Si tiene control sobre el comportamiento del servidor de reenvío de correo electrónico, puede crear una regla que reescriba el
return-pathencabezado para que coincida con elmailfromencabezado cuando reenvía el correo electrónico que se recibe y se destina a uno de sus alias de correo electrónico.
Respuesta2
Estepuededeberse a un error reportado con Gmail
No creo que esté resuelto, aunque algunos carteles informan de éxito.
Respuesta3
El problema es que no se considera que el SPF por sí solo sea suficiente para detener los correos electrónicos que fallan en la autenticación. Incluso un fracaso difícil no haría eso.
Eso motivó el desarrollo de DMARC. Con eso, puede indicar a los servidores receptores (incluidos los enviados de interno a interno) que rechacen el correo electrónico que no pase la autenticación.
Puede leer más sobre hardfail vs softfail y por qué DMARC es la respuesta aquí:https://knowledge.ondmarc.redsift.com/en/articles/1148885-spf-hard-fail-vs-spf-soft-fail