SPF hardfail y DKIM falla cuando el destinatario tiene reenvío de correo electrónico

9

Configuré el SPF de error para mi dominio y la firma de mensajes DKIM en mi servidor SMTP. Dado que este es el único servidor SMTP que debería usarse para el correo saliente de mi dominio, no preveía ninguna complicación.

Sin embargo, considere la siguiente situación: envié un mensaje de correo electrónico a través del servidor SMTP al correo electrónico de la universidad de mi colega. El problema es que mi colega reenvía el correo electrónico de su universidad a su cuenta de GMail. Estos son los encabezados del mensaje después de que llega a su buzón de correo GMail:

Received-SPF: fail (google.com: el dominio [email protected] no designa 192.168.128.100 como remitente permitido) client-ip = 192.168.128.100;
Resultados de autenticación: mx.google.com; spf = hardfail (google.com: el dominio de mí@ejemplo.com no designa 192.168.128.100 como remitente permitido) [email protected]; dkim = hardfail (modo de prueba) [email protected]

(Los encabezados se han desinfectado para proteger los dominios y las direcciones IP de las partes que no son de Google)

GMail compara el último servidor SMTP en la cadena de entrega con mis registros SPF y DKIM (con razón). Dado que el último servidor STMP en la cadena de entrega fue el servidor de la universidad y no mi servidor, la verificación da como resultado un error de SPF y un error DKIM. Afortunadamente, GMail no marcó el mensaje como spam, pero me preocupa que esto pueda causar un problema en el futuro.

¿Es mi implementación de SPF hardfail quizás demasiado estricta? ¿Alguna otra recomendación o posible problema que deba tener en cuenta? ¿O tal vez hay una configuración más ideal para el procedimiento de reenvío de correo electrónico de la universidad? Sé que el servidor de reenvío podría cambiar el remitente del sobre, pero veo que se está volviendo desordenado.

Belmin Fernandez
fuente

Respuestas:

5

El servidor de reenvío necesita configurar SRS para no romper su SPF http://www.open-spf.org/srs/

mandamás
fuente
1
+1 Estaba leyendo sobre eso justo antes de recibir la notificación de SF para su respuesta. Desafortunadamente, veo que el correo de la universidad (Mirapoint) no es compatible con SRS. Preguntándose si la tasa de implementación de SRS es muy baja.
Belmin Fernández
La mayoría de los proveedores que reenvían el correo lo implementan, Blackberry, por ejemplo, lo usa para reescribir su dirección cuando envía desde su dispositivo
topdog
0

Si bien el reenvío rompe SPF (sin SRS), generalmente no rompe DKIM. Parece que (según dkim=hardfail (test mode)los resultados de autenticación de GMail) el problema es que su registro de clave SPF tiene la t=ybandera, lo que indica que es solo para fines de prueba .

Andrés
fuente