Gandi가 호스팅하고 가족의 Gmail 주소를 가리키는 메일 별칭으로 구성된 가상 도메인(mydomain.com)이 있습니다.
등등.
Gmail은 이메일을 가상 주소로 보내도록 구성되어 있으며 SPF 레코드도 설정되어 있습니다.
v=spf1 include:_spf.google.com include:_spf.gpaas.net include:_mailcust.gandi.net ?all
mail-tester.com에서는 SPF가 올바르게 설정되었다고 보고하지만 [anyone]@mydomain.com에서 [anyone else]@mydomain.com으로 이메일을 보낼 때 SOFTFAIL을 받을 수 있습니다.
부터 보내진 | 전송 | 이메일의 SPF 결과 |
---|---|---|
[이메일 보호됨] | [이메일 보호됨] | 통과하다 |
[이메일 보호됨] | [이메일 보호됨] | 통과하다 |
[이메일 보호됨] | [이메일 보호됨] | 통과하다 |
[이메일 보호됨] | [이메일 보호됨] | 소프트웨어 실패 |
이메일 SOFTFAIL의 헤더는 다음과 같습니다.
Delivered-To: [email protected]
ARC-Authentication-Results: i=1; mx.google.com;
spf=softfail (google.com: domain of transitioning [email protected] does not designate 2001:4b98:dc4:8::230 as permitted sender) [email protected]
Return-Path: <[email protected]>
Received: from relay10.mail.gandi.net (relay10.mail.gandi.net. [2001:4b98:dc4:8::230])
by mx.google.com with ESMTPS id w4-20020a05600018c400b0020ac7a84cb7si9021160wrq.441.2022.05.01.02.22.05
for <[email protected]>
(version=TLS1_2 cipher=ECDHE-ECDSA-CHACHA20-POLY1305 bits=256/256);
Sun, 01 May 2022 02:22:06 -0700 (PDT)
Received-SPF: softfail (google.com: domain of transitioning [email protected] does not designate 2001:4b98:dc4:8::230 as permitted sender) client-ip=2001:4b98:dc4:8::230;
Authentication-Results: mx.google.com;
spf=softfail (google.com: domain of transitioning [email protected] does not designate 2001:4b98:dc4:8::230 as permitted sender) [email protected]
Received: from spool.mail.gandi.net (spool3.mail.gandi.net [217.70.178.212]) by relay.mail.gandi.net (Postfix) with ESMTPS id 51151240003 for <[email protected]>; Sun,
1 May 2022 09:22:05 +0000 (UTC)
X-Envelope-To: [email protected]
Received: from mail-lf1-f48.google.com (mail-lf1-f48.google.com [209.85.167.48]) by spool.mail.gandi.net (Postfix) with ESMTPS id 49A2CAC0C45 for <[email protected]>; Sun,
1 May 2022 09:22:04 +0000 (UTC)
Received: by mail-lf1-f48.google.com with SMTP id w19so20836346lfu.11
for <[email protected]>; Sun, 01 May 2022 02:22:04 -0700 (PDT)
Received: from smtpclient.apple (cpc1-sotn14-2-0-cust79.15-1.cable.virginm.net. [81.96.148.80])
by smtp.gmail.com with ESMTPSA id r7-20020a2e8e27000000b0024f3d1dae9asm761964ljk.34.2022.05.01.02.22.02
for <[email protected]>
(version=TLS1_3 cipher=TLS_AES_128_GCM_SHA256 bits=128/128);
Sun, 01 May 2022 02:22:02 -0700 (PDT)
From: Me <[email protected]>
To: My Brother <[email protected]>
Received-SPF: pass (spool3: domain of gmail.com designates 209.85.167.48 as permitted sender) client-ip=209.85.167.48; [email protected]; helo=mail-lf1-f48.google.com;
Authentication-Results: spool.mail.gandi.net; dkim=none; dmarc=none; spf=pass (spool.mail.gandi.net: domain of [email protected] designates 209.85.167.48 as permitted sender) [email protected]
mydomain.com에서 mydomain.com의 다른 주소로 전송된 이메일이 SPF에 실패하는 것을 중지할 수 있는 방법이 있습니까?
답변1
Gandi 서버에서 메일이 수신되었음을 확인할 수 있습니다.
Received: from relay10.mail.gandi.net (relay10.mail.gandi.net. [2001:4b98:dc4:8::230])
SPF 레코드에서 Gandi 서버가 인증되지 않은 것을 확인할 수 있습니다.
Received-SPF: softfail (google.com: domain of transitioning [email protected] does not designate 2001:4b98:dc4:8::230 as permitted sender)
SPF는 헤더를 확인합니다 return-path
. 헤더 가 아닙니다 mailfrom
. 이다 .return-path
따라서 gmail.com SPF 레코드는 Gandi 서버가 gmail.com 이메일 주소를 [email protected]
사용하여 이메일을 보내는 것을 허용하지 않습니다 .return-path
SPF가 정상적으로 작동하고 있습니다. 현재 보고 있는 것은 메일 전달과 관련된 SPF 프로토콜의 본질적인 약점입니다. 메일이 MTA(메일 서버) 수준에서 전달되면 mailfrom
및 return-path
헤더는 다시 작성되지 않지만(그래서도 안 됨) 전달된 메일이 수신자의 이메일 서버에 도달하면 보낸 사람의 원본 메일이 아닌 전달 서버에서 옵니다. 이메일 서버. 따라서 수신자의 이메일 서버는 SPF를 확인하고 해당 return-path
도메인이 전달 이메일 서버에 메일 전송 권한을 부여하지 않았는지 확인합니다.
전달하면 SPF가 손상됩니다. 도메인의 SPF 레코드를 제어하지 않기 때문에 gmail.com
Gmail을 대신하여 메일을 전달하도록 Gandi 서버에 권한을 부여할 수 없습니다. 이것이 SPF만으로는 메일이 승인되었는지 여부를 판단하는 데 사용할 수 없는 이유입니다.
네 가지 솔루션이 있습니다(옵션 1과 2에는 유료 Google Workspace 계정이 필요하다고 생각됩니다).
- 별칭 이메일 주소를 사용하여 Gmail에서 이메일을 보낼 때 헤더에도 이메일 별칭이 사용되는지 확인하세요
return-path
. 또한 의 SPF 레코드에 Gmail 서버를 추가하세요mydomain.com
. Gmail을 사용하여 별칭으로 이메일을 보내는 방법에 대한 자세한 내용은 여기를 참조하세요.https://support.google.com/mail/answer/22370?hl=ko - 별칭으로 전송된 이메일이 제3자를 통해 전달되지 않고 Gmail 서버와 받은편지함으로 직접 전송되도록 MX 레코드와 Gmail을 구성하세요.
- 메시지를 전달하는 대신 제3자로부터 귀하의 별칭 이메일 주소로 향하는 이메일을 받으세요. 그런 다음 다음을 사용하여 제3자로부터 해당 이메일을 수집하도록 Gmail을 구성하십시오.내 다른 계정에서 이메일 가져오기(POP3)Gmail의 옵션입니다.
- 전달 전자 메일 서버의 동작을 제어할 수 있는 경우 전자 메일 별칭 중 하나에서 수신되고 대상이 되는 전자 메일을 전달할 때 헤더와
return-path
일치하도록 헤더를 다시 작성하는 규칙을 생성할 수 있습니다.mailfrom
답변2
이것5월보고된 Gmail 버그 때문일 수 있습니다.
일부 포스터에서는 성공했다고 보고하지만 문제가 해결된 것 같지 않습니다.
답변3
문제는 SPF만으로는 인증에 실패한 이메일을 차단하는 데 충분하지 않다고 간주된다는 것입니다. 심지어 어려운 실패도 그렇게 하지 않을 것입니다.
이것이 DMARC 개발의 동기가 되었습니다. 이를 통해 수신 서버(내부에서 내부로 전송 포함)에 인증을 통과하지 못한 이메일을 거부하도록 지시할 수 있습니다.
하드 장애와 소프트 장애에 대한 자세한 내용과 DMARC가 답인 이유는 여기에서 확인할 수 있습니다.https://knowledge.ondmarc.redsift.com/en/articles/1148885-spf-hard-fail-vs-spf-soft-fail