當發送郵件給具有郵件別名的地址或從具有郵件別名的地址發送郵件時,我可以在 Gmail 中停止 SPF SOFTFAIL 嗎?

tag-icon tag-icon gmail spf
當發送郵件給具有郵件別名的地址或從具有郵件別名的地址發送郵件時,我可以在 Gmail 中停止 SPF SOFTFAIL 嗎?

我有一個由 Gandi 託管的個性網域 (mydomain.com),並為我的家人配置了指向我們各自 Gmail 地址的郵件別名:

別名 真實地址
[電子郵件受保護] [電子郵件受保護]
[電子郵件受保護] [電子郵件受保護]

等等。

Gmail 配置為將電子郵件作為個性地址發送,我還設定了 SPF 記錄:

v=spf1 include:_spf.google.com include:_spf.gpaas.net include:_mailcust.gandi.net ?all

儘管 mail-tester.com 報告 SPF 設定正確,但從 [anyone]@mydomain.com 向 [anyone else]@mydomain.com 發送電子郵件時,可能會收到 SOFTFAIL:

來自 發給 電子郵件的 SPF 結果
[電子郵件受保護] [電子郵件受保護] 經過
[電子郵件受保護] [電子郵件受保護] 經過
[電子郵件受保護] [電子郵件受保護] 經過
[電子郵件受保護] [電子郵件受保護] 軟故障

電子郵件 SOFTFAIL 時的標頭如下:

Delivered-To: [email protected]
ARC-Authentication-Results: i=1; mx.google.com;
       spf=softfail (google.com: domain of transitioning [email protected] does not designate 2001:4b98:dc4:8::230 as permitted sender) [email protected]
Return-Path: <[email protected]>
Received: from relay10.mail.gandi.net (relay10.mail.gandi.net. [2001:4b98:dc4:8::230])
        by mx.google.com with ESMTPS id w4-20020a05600018c400b0020ac7a84cb7si9021160wrq.441.2022.05.01.02.22.05
        for <[email protected]>
        (version=TLS1_2 cipher=ECDHE-ECDSA-CHACHA20-POLY1305 bits=256/256);
        Sun, 01 May 2022 02:22:06 -0700 (PDT)
Received-SPF: softfail (google.com: domain of transitioning [email protected] does not designate 2001:4b98:dc4:8::230 as permitted sender) client-ip=2001:4b98:dc4:8::230;
Authentication-Results: mx.google.com;
       spf=softfail (google.com: domain of transitioning [email protected] does not designate 2001:4b98:dc4:8::230 as permitted sender) [email protected]
Received: from spool.mail.gandi.net (spool3.mail.gandi.net [217.70.178.212]) by relay.mail.gandi.net (Postfix) with ESMTPS id 51151240003 for <[email protected]>; Sun,
  1 May 2022 09:22:05 +0000 (UTC)
X-Envelope-To: [email protected]
Received: from mail-lf1-f48.google.com (mail-lf1-f48.google.com [209.85.167.48]) by spool.mail.gandi.net (Postfix) with ESMTPS id 49A2CAC0C45 for <[email protected]>; Sun,
  1 May 2022 09:22:04 +0000 (UTC)
Received: by mail-lf1-f48.google.com with SMTP id w19so20836346lfu.11
        for <[email protected]>; Sun, 01 May 2022 02:22:04 -0700 (PDT)
Received: from smtpclient.apple (cpc1-sotn14-2-0-cust79.15-1.cable.virginm.net. [81.96.148.80])
        by smtp.gmail.com with ESMTPSA id r7-20020a2e8e27000000b0024f3d1dae9asm761964ljk.34.2022.05.01.02.22.02
        for <[email protected]>
        (version=TLS1_3 cipher=TLS_AES_128_GCM_SHA256 bits=128/128);
        Sun, 01 May 2022 02:22:02 -0700 (PDT)
From: Me <[email protected]>
To: My Brother <[email protected]>
Received-SPF: pass (spool3: domain of gmail.com designates 209.85.167.48 as permitted sender) client-ip=209.85.167.48; [email protected]; helo=mail-lf1-f48.google.com;
Authentication-Results: spool.mail.gandi.net; dkim=none; dmarc=none; spf=pass (spool.mail.gandi.net: domain of [email protected] designates 209.85.167.48 as permitted sender) [email protected]

有什麼方法可以阻止從 mydomain.com 發送到 mydomain.com 中另一個未通過 SPF 的地址的電子郵件嗎?

答案1

您可以看到郵件是從 Gandi 伺服器收到的:

Received: from relay10.mail.gandi.net (relay10.mail.gandi.net. [2001:4b98:dc4:8::230])

您可以在 SPF 記錄中看到 Gandi 伺服器未獲得授權:

Received-SPF: softfail (google.com: domain of transitioning [email protected] does not designate 2001:4b98:dc4:8::230 as permitted sender)

SPF 檢查標return-path頭。不是mailfrom標題。是return-path[email protected]因此,gmail.com SPF 記錄不允許 Gandi 伺服器使用return-pathgmail.com 電子郵件地址發送電子郵件。

SPF 功能正常。您所看到的是 SPF 協定在郵件轉送方面的固有弱點。當郵件在 MTA(郵件伺服器)層級轉送時,mailfromreturn-path標頭不會被重寫(也不應該被重寫),但是當轉寄的郵件到達收件者的電子郵件伺服器時,它來自轉送伺服器,而不是來自寄件者的原始郵件電子郵件伺服器。因此,收件者的電子郵件伺服器會檢查 SPF,發現該return-path網域未授權轉送電子郵件伺服器傳送郵件。

轉發會破壞 SPF。由於您無法控制gmail.com網域的 SPF 記錄,因此您無法授權 Gandi 伺服器代表 gmail 轉送郵件。這就是為什麼不能單獨使用 SPF 來確定郵件是否經過授權。

您有四種解決方案(我相信選項 1 和 2 需要付費的 Google Workspace 帳戶):

  1. 確保當您使用別名電子郵件地址從 gmail 發送電子郵件時,它也會return-path在標頭中使用電子郵件別名。也將 Gmail 伺服器新增至 的 SPF 記錄mydomain.com。有關使用 Gmail 作為別名發送電子郵件的更多信息,請參閱此處:https://support.google.com/mail/answer/22370?hl=en
  2. 設定您的 MX 記錄和 gmail,以便將發送到您別名的電子郵件直接發送到 gmail 的伺服器並進入您的收件匣,而不是透過第三方轉發。
  3. 在第三方接收發送至您的別名電子郵件地址的電子郵件,而不是轉發該郵件。然後配置 Gmail 以使用以下方式從第三方收集電子郵件:從我的其他帳戶 (POP3) 匯入電子郵件Gmail 中的選項。
  4. 如果您可以控制轉發電子郵件伺服器的行為,則可以建立一條規則,在轉發從您的電子郵件別名之一接收或發送到您的電子郵件別名之一的電子郵件時,重寫return-path標頭以匹配標頭。mailfrom

答案2

可能是由於 Gmail 報告的錯誤造成的

https://support.google.com/mail/thread/159271685/personal-gmail-send-mail-as-sends-over-google-ip-and-soft-fails-on-the-receiver-spf-check? hl=en

儘管有些海報報告成功,但我認為問題尚未解決。

答案3

問題是 SPF 本身不足以阻止身份驗證失敗的電子郵件。即使是嚴重失敗也不會這樣做。

這推動了 DMARC 的發展。這樣您就可以指示接收伺服器(包括從內部傳送到內部)拒絕未通過驗證的電子郵件。

您可以在此處閱讀有關硬故障與軟故障以及為什麼 DMARC 是答案的更多資訊:https://knowledge.ondmarc.redsift.com/en/articles/1148885-spf-hard-fail-vs-spf-soft-fail

相關內容