3 votes

Vérification SPF basée sur l'IP du client au lieu de l'IP du MTA ?

Configuration

Sur un ordinateur client avec une adresse IP a.a.a.a.a Il existe un client de messagerie qui utilise SMTP pour envoyer des e-mails via le serveur de messagerie de l'entreprise. exemple.com avec l'adresse IP b.b.b.b .

Le serveur de messagerie de l'entreprise exemple.com a un enregistrement SPF qui inclut l'adresse IP b.b.b.b .

Numéro

En utilisant la configuration ci-dessus, un courriel est envoyé à la fois à une adresse gmail ordinaire address@gmail.com et une adresse Google apps address@another_example.com avec l'adresse de départ de author@example.com .

Les deux comptes de réception donnent des résultats différents en matière de SPF.

Dans Gmail :

Received-SPF: pass (google.com: domain of author@example.com designates b.b.b.b as permitted sender) client-ip=b.b.b.b;

Cependant, dans Google Apps :

Received-SPF: softfail (google.com: domain of transitioning author@example.com does not designate a.a.a.a as permitted sender) client-ip=a.a.a.a;

Veuillez noter que dans les vérifications SPF qui ont échoué, Google Apps vérifie l'enregistrement SPF par rapport à l'adresse IP de mon client a.a.a.a, qui n'est pas et ne devrait pas être ajoutée à l'enregistrement SPF.

Comme indiqué ci-dessus, il s'agit d'un seul et unique message électronique envoyé à deux adresses différentes.

Question

Il ne devrait y avoir aucun doute sur le fait que l'enregistrement SPF est correctement configuré pour example.com, et le gmail normal le confirme. La question est de savoir pourquoi Google Apps vérifie l'IP du client a.a.a.a.a ?

Extra

En-tête complet tel qu'il apparaît dans Gmail et Google Apps :

Gmail

Delivered-To: address@gmail.com
Received: by 10.50.155.1 with SMTP id vs1csp2310853igb;
    Tue, 14 Apr 2015 13:24:07 -0700 (PDT)
X-Received: by 10.202.184.3 with SMTP id i3mr12882037oif.61.1429043047220;
    Tue, 14 Apr 2015 13:24:07 -0700 (PDT)
Return-Path: <author@example.com>
Received: from mail.example.com (mail.example.com. [b.b.b.b])
    by mx.google.com with ESMTP id u128si1421479oig.11.2015.04.14.13.24.07
    for <address@gmail.com>;
    Tue, 14 Apr 2015 13:24:07 -0700 (PDT)
Received-SPF: pass (google.com: domain of author@example.com designates b.b.b.b as permitted sender) client-ip=b.b.b.b;
Authentication-Results: mx.google.com;
   spf=pass (google.com: domain of author@example.com designates b.b.b.b as permitted sender) smtp.mail=author@example.com
Received: from x.x.tld ([a.a.a.a])
      by mail.example.com (IBM Domino Release 9.0.1FP2 HF590)
      with ESMTP id 2015041415240678-1040231 ;
      Tue, 14 Apr 2015 15:24:06 -0500 
From: author@example.com <author@example.com>
Subject: test spf
Message-Id: <B39FB647-AD58-41C1-9C9E-F61355F3C1DF@example.com>
Date: Tue, 14 Apr 2015 15:24:06 -0500
To: address@gmail.com, address@another_example.com
Mime-Version: 1.0 (Mac OS X Mail 8.2 \(2098\))
X-Mailer: Apple Mail (2.2098)
X-MIMETrack: Itemize by SMTP Server on XXX(Release 9.0.1FP2 HF590|December 11, 2014) at
     04/14/2015 03:24:06 PM,
Serialize by Router on XXXX (Release 9.0.1FP2 HF590|December 11, 2014) at
     04/14/2015 03:24:07 PM,
Serialize complete at 04/14/2015 03:24:07 PM
X-TNEFEvaluated: 1
Content-Transfer-Encoding: 7bit
Content-Type: text/plain; charset=us-ascii

Google Apps :

Delivered-To: address@another_example.com
Received: by 10.112.136.137 with SMTP id qa9csp2056333lbb;
    Tue, 14 Apr 2015 13:24:08 -0700 (PDT)
X-Received: by 10.60.52.237 with SMTP id w13mr17898646oeo.58.1429043047841;
    Tue, 14 Apr 2015 13:24:07 -0700 (PDT)
Return-Path: author@example.com
Received: from mail.example.com (mail.example.com. [b.b.b.b])
    by mx.google.com with ESMTP id uv7si1397910obc.93.2015.04.14.13.24.07
    for <address@another_example.com>;
    Tue, 14 Apr 2015 13:24:07 -0700 (PDT)
Received-SPF: softfail (google.com: domain of transitioning author@example.com does not designate a.a.a.a as permitted sender) client-ip=a.a.a.a;
Authentication-Results: mx.google.com;
   spf=softfail (google.com: domain of transitioning author@example.com does not designate a.a.a.a as permitted sender) smtp.mail=author@example.com
Received: from x.x.tld ([a.a.a.a])
      by mail.example.com (IBM Domino Release 9.0.1FP2 HF590)
      with ESMTP id 2015041415240678-1040231 ;
      Tue, 14 Apr 2015 15:24:06 -0500 
From: <author@example.com>
Subject: test spf
Message-Id: <B39FB647-AD58-41C1-9C9E-F61355F3C1DF@example.com>
Date: Tue, 14 Apr 2015 15:24:06 -0500
To: address@another_example.com, address@gmail.com
Mime-Version: 1.0 (Mac OS X Mail 8.2 \(2098\))
X-Mailer: Apple Mail (2.2098)
X-MIMETrack: Itemize by SMTP Server on XXX (Release 9.0.1FP2 HF590|December 11, 2014) at
     04/14/2015 03:24:06 PM,
Serialize by Router on XXX(Release 9.0.1FP2 HF590|December 11, 2014) at
     04/14/2015 03:24:07 PM,
Serialize complete at 04/14/2015 03:24:07 PM
X-TNEFEvaluated: 1
Content-Transfer-Encoding: 7bit
Content-Type: text/plain; charset=us-ascii

2voto

BeowulfNode42 Points 2595

D'après ce que je vois, je pense que le problème vient de la configuration de la messagerie du client. Il semble qu'il utilise un serveur de messagerie local ou les serveurs de messagerie du FAI de cette personne plutôt que de communiquer directement avec les serveurs SMTP de Google. D'après les lignes

Reçu : de x.x.tld ([a.a.a.a]) par mail.exemple.com (IBM Domino Release 9.0.1FP2 HF590)

Ce qui donne l'impression que le client envoie des e-mails via un autre serveur de messagerie. Les journaux de Google Apps sont corrects. L'e-mail ne devrait pas passer le contrôle SPF. Cependant, comme l'e-mail est autorisé à entrer dans le système de messagerie de votre entreprise, il passe quand même.

La raison pour laquelle les deux vérifications sont différentes est probablement due au fait que le compte Google Apps de l'entreprise possède un paramètre situé dans la console d'administration "Apps -> Google Apps -> Paramètres pour Gmail --> Paramètres avancés", puis sous la rubrique spam, le paramètre nommé "Inbound Gateway", l'adresse b.b.b.b sera listée. Cependant, si l'adresse b.b.b.b est l'une des IP de l'enregistrement MX du domaine, elle devrait y figurer. Dans le cas contraire, elle doit être supprimée et ajoutée à l'enregistrement SPF si elle ne l'est pas déjà. L'effet de ce paramètre sur la vérification SPF est de faire savoir à Google que l'adresse IP qu'il doit rechercher pourrait provenir du saut MTA public IP précédent avant l'adresse b.b.b.b.

C'est utile pour les entreprises comme la nôtre, qui utilisent nos propres serveurs dans notre enregistrement MX. Pour le personnel utilisant la messagerie Google Apps, nos serveurs dirigent le courrier électronique vers les serveurs de Google. Si Google effectuait une vérification SPF régulière dans ce cas, il penserait que tous les e-mails proviennent d'une adresse IP comme b.b.b.b et la vérification SPF serait inutile.

La raison pour laquelle le destinataire de gmail l'affiche différemment est que différents serveurs Google traitent cet e-mail sans connaître le paramètre "Inbound Mail Gateway" et voient seulement que le dernier saut MTA IP public de l'e-mail avant les serveurs de Google était b.b.b.b.

Consultez la page d'aide de Google sur la "passerelle de courrier entrant" ici. https://support.google.com/a/answer/60730?hl=en

En résumé

Corrigez les paramètres de messagerie du client pour utiliser les serveurs SMTP de Google. Si l'utilisateur se plaint qu'il n'a pas le temps de corriger le problème, bloquez son courrier électronique en l'empêchant d'envoyer des messages et en transformant le softfail en un fail pur et simple.

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

X