Tenho um domínio personalizado (meudominio.com) hospedado por Gandi e configurado com aliases de e-mail para minha família que apontam para nossos respectivos endereços do Gmail:
| Alias | Endereço real |
|---|---|
| [e-mail protegido] | [e-mail protegido] |
| [e-mail protegido] | [e-mail protegido] |
e assim por diante.
O Gmail está configurado para enviar e-mail como endereço personalizado e também tenho um registro SPF configurado:
v=spf1 include:_spf.google.com include:_spf.gpaas.net include:_mailcust.gandi.net ?all
Embora mail-tester.com informe que o SPF está configurado corretamente, é possível obter um SOFTFAIL ao enviar um e-mail de [qualquer pessoa]@meudominio.com para [qualquer outra pessoa]@meudominio.com:
| Enviado de | Enviado para | Resultado SPF do e-mail |
|---|---|---|
| [e-mail protegido] | [e-mail protegido] | PASSAR |
| [e-mail protegido] | [e-mail protegido] | PASSAR |
| [e-mail protegido] | [e-mail protegido] | PASSAR |
| [e-mail protegido] | [e-mail protegido] | FALHA SOFT |
Os cabeçalhos quando o e-mail SOFTFAILs são os seguintes:
Delivered-To: [email protected]
ARC-Authentication-Results: i=1; mx.google.com;
spf=softfail (google.com: domain of transitioning [email protected] does not designate 2001:4b98:dc4:8::230 as permitted sender) [email protected]
Return-Path: <[email protected]>
Received: from relay10.mail.gandi.net (relay10.mail.gandi.net. [2001:4b98:dc4:8::230])
by mx.google.com with ESMTPS id w4-20020a05600018c400b0020ac7a84cb7si9021160wrq.441.2022.05.01.02.22.05
for <[email protected]>
(version=TLS1_2 cipher=ECDHE-ECDSA-CHACHA20-POLY1305 bits=256/256);
Sun, 01 May 2022 02:22:06 -0700 (PDT)
Received-SPF: softfail (google.com: domain of transitioning [email protected] does not designate 2001:4b98:dc4:8::230 as permitted sender) client-ip=2001:4b98:dc4:8::230;
Authentication-Results: mx.google.com;
spf=softfail (google.com: domain of transitioning [email protected] does not designate 2001:4b98:dc4:8::230 as permitted sender) [email protected]
Received: from spool.mail.gandi.net (spool3.mail.gandi.net [217.70.178.212]) by relay.mail.gandi.net (Postfix) with ESMTPS id 51151240003 for <[email protected]>; Sun,
1 May 2022 09:22:05 +0000 (UTC)
X-Envelope-To: [email protected]
Received: from mail-lf1-f48.google.com (mail-lf1-f48.google.com [209.85.167.48]) by spool.mail.gandi.net (Postfix) with ESMTPS id 49A2CAC0C45 for <[email protected]>; Sun,
1 May 2022 09:22:04 +0000 (UTC)
Received: by mail-lf1-f48.google.com with SMTP id w19so20836346lfu.11
for <[email protected]>; Sun, 01 May 2022 02:22:04 -0700 (PDT)
Received: from smtpclient.apple (cpc1-sotn14-2-0-cust79.15-1.cable.virginm.net. [81.96.148.80])
by smtp.gmail.com with ESMTPSA id r7-20020a2e8e27000000b0024f3d1dae9asm761964ljk.34.2022.05.01.02.22.02
for <[email protected]>
(version=TLS1_3 cipher=TLS_AES_128_GCM_SHA256 bits=128/128);
Sun, 01 May 2022 02:22:02 -0700 (PDT)
From: Me <[email protected]>
To: My Brother <[email protected]>
Received-SPF: pass (spool3: domain of gmail.com designates 209.85.167.48 as permitted sender) client-ip=209.85.167.48; [email protected]; helo=mail-lf1-f48.google.com;
Authentication-Results: spool.mail.gandi.net; dkim=none; dmarc=none; spf=pass (spool.mail.gandi.net: domain of [email protected] designates 209.85.167.48 as permitted sender) [email protected]
Existe alguma maneira de impedir que e-mails sejam enviados de mydomain.com para outro endereço em mydomain.com com falha no SPF?
Responder1
Você pode ver que o e-mail foi recebido de um servidor Gandi:
Received: from relay10.mail.gandi.net (relay10.mail.gandi.net. [2001:4b98:dc4:8::230])
Você pode ver que os servidores Gandi não estão autorizados no registro SPF:
Received-SPF: softfail (google.com: domain of transitioning [email protected] does not designate 2001:4b98:dc4:8::230 as permitted sender)
O SPF verifica o return-pathcabeçalho. Não o mailfromcabeçalho. O return-pathé [email protected]. Portanto, os registros SPF do gmail.com não permitem que os servidores Gandi enviem e-mails usando return-pathendereços de e-mail com gmail.com.
O SPF está funcionando normalmente. O que você está vendo é uma fraqueza inerente ao protocolo SPF em relação ao encaminhamento de mensagens. Quando o e-mail é encaminhado no nível MTA (servidor de e-mail), os mailfromcabeçalhos return-pathe não são reescritos (nem deveriam ser), mas quando o e-mail encaminhado chega ao servidor de e-mail do destinatário, ele vem do servidor de encaminhamento e não do original do remetente servidor de e-mail. Portanto, o servidor de e-mail do destinatário verifica o SPF e vê que o return-pathdomínio não autoriza o servidor de encaminhamento de e-mail a enviar e-mails.
O encaminhamento quebra o SPF. Como você não controla os registros SPF do gmail.comdomínio, não pode autorizar os servidores Gandi a encaminhar e-mails em nome do Gmail. É por isso que o SPF não pode ser usado sozinho para determinar se o correio está autorizado ou não.
Você tem quatro soluções (acredito que as opções 1 e 2 exigem uma conta paga do Google Workspace):
- Certifique-se de que, ao enviar e-mail do Gmail usando um endereço de e-mail alternativo, ele também use o alias de e-mail no
return-pathcabeçalho. Adicione também os servidores do Gmail ao registro SPF paramydomain.com. Para obter mais informações sobre como enviar e-mail como alias com o Gmail, veja aqui:https://support.google.com/mail/answer/22370?hl=en - Configure seus registros MX e o Gmail para que os e-mails destinados ao seu alias sejam enviados diretamente para os servidores do Gmail e para sua caixa de entrada, em vez de encaminhá-los por meio de terceiros.
- Receba e-mails destinados ao seu endereço de e-mail alternativo de terceiros, em vez de encaminhar a mensagem. Em seguida, configure o Gmail para coletar esse e-mail de terceiros usando oImportar e-mails da minha outra conta (POP3)opção no Gmail.
- Se você tiver controle sobre o comportamento do servidor de encaminhamento de email, poderá criar uma regra que reescreva o
return-pathcabeçalho para corresponder aomailfromcabeçalho ao encaminhar emails recebidos e destinados a um de seus aliases de email.
Responder2
Essepoderiaser devido a um bug relatado no Gmail
Não creio que esteja resolvido, embora alguns postadores relatem sucesso.
Responder3
O problema é que o SPF por si só não foi considerado suficiente para impedir e-mails que falham na autenticação. Mesmo uma falha difícil não faria isso.
Isso motivou o desenvolvimento do DMARC. Com isso você pode instruir os servidores de recebimento (inclusive os enviados de interno para interno) a rejeitarem emails que não passem na autenticação.
Você pode ler mais sobre hardfail vs softfail e por que DMARC é a resposta aqui:https://knowledge.ondmarc.redsift.com/en/articles/1148885-spf-hard-fail-vs-spf-soft-fail