Điểm:0

Tôi có thể dừng SPF SOFTFAIL trong Gmail khi gửi đến và đi từ các địa chỉ có bí danh thư không?

lá cờ in

Tôi có một miền ảo (mydomain.com) do Gandi lưu trữ và được định cấu hình với bí danh thư cho gia đình tôi trỏ đến các địa chỉ Gmail tương ứng của chúng tôi:

và như thế.

Gmail được định cấu hình để gửi email dưới dạng địa chỉ ảo và tôi cũng đã thiết lập bản ghi SPF:

v=spf1 bao gồm:_spf.google.com bao gồm:_spf.gpaas.net bao gồm:_mailcust.gandi.net ?all

Mặc dù mail-tester.com báo cáo rằng SPF được thiết lập chính xác, nhưng có thể nhận được LỖI MỀM khi gửi email từ [bất kỳ ai]@mydomain.com đến [bất kỳ ai khác]@mydomain.com:

Được gửi từ Gửi đến Kết quả SPF của email
[email protected] anh [email protected] VƯỢT QUA
[email protected] my [email protected] VƯỢT QUA
[email protected] anh [email protected] VƯỢT QUA
[email protected] my [email protected] LỖI MỀM

Các tiêu đề khi email SOFTFAILs như sau:

Gửi đến: [email protected]
ARC-Xác thực-Kết quả: i=1; mx.google.com;
       spf=softfail (google.com: miền chuyển đổi [email protected] không chỉ định 2001:4b98:dc4:8::230 là người gửi được phép) [email protected]
Đường dẫn trả về: <[email protected]>
Đã nhận: từ relay10.mail.gandi.net (relay10.mail.gandi.net. [2001:4b98:dc4:8::230])
        bởi mx.google.com với id ESMTPS w4-20020a05600018c400b0020ac7a84cb7si9021160wrq.441.2022.05.01.02.22.05
        cho <[email protected]>
        (phiên bản=TLS1_2 mật mã=ECDHE-ECDSA-CHACHA20-POLY1305 bit=256/256);
        CN, 01/05/2022 02:22:06 -07:00 (PDT)
Đã nhận-SPF: softfail (google.com: miền chuyển đổi [email protected] không chỉ định 2001:4b98:dc4:8::230 là người gửi được phép) client-ip=2001:4b98:dc4:8::230;
Xác thực-Kết quả: mx.google.com;
       spf=softfail (google.com: miền chuyển đổi [email protected] không chỉ định 2001:4b98:dc4:8::230 là người gửi được phép) [email protected]
Đã nhận: từ spool.mail.gandi.net (spool3.mail.gandi.net [217.70.178.212]) bởi relay.mail.gandi.net (Postfix) với ESMTPS id 51151240003 cho <[email protected]>; Mặt trời,
  1 Tháng Năm 2022 09:22:05 +0000 (UTC)
X-Envelope-To: [email protected]
Đã nhận: từ mail-lf1-f48.google.com (mail-lf1-f48.google.com [209.85.167.48]) bởi spool.mail.gandi.net (Postfix) với id ESMTPS 49A2CAC0C45 cho <[email protected] >; Mặt trời,
  1 Tháng Năm 2022 09:22:04 +0000 (UTC)
Đã nhận: qua mail-lf1-f48.google.com với SMTP id w19so20836346lfu.11
        cho <my [email protected]>; CN, 01/05/2022 02:22:04 -07:00 (PDT)
Đã nhận: từ smtpclient.apple (cpc1-sotn14-2-0-cust79.15-1.cable.virginm.net. [81.96.148.80])
        bởi smtp.gmail.com với id ESMTPSA r7-20020a2e8e27000000b0024f3d1dae9asm761964ljk.34.2022.05.01.02.22.02
        cho <[email protected]>
        (phiên bản=TLS1_3 mật mã=TLS_AES_128_GCM_SHA256 bit=128/128);
        CN, 01/05/2022 02:22:02 -07:00 (PDT)
Từ: Tôi <[email protected]>
Tới: Anh trai tôi <[email protected]>
Đã nhận-SPF: pass (spool3: tên miền của gmail.com chỉ định 209.85.167.48 là người gửi được phép) client-ip=209.85.167.48; phong bì-từ[email protected]; helo=mail-lf1-f48.google.com;
Xác thực-Kết quả: spool.mail.gandi.net; dkim=không; dmarc=không; spf=pass (spool.mail.gandi.net: tên miền của [email protected] chỉ định 209.85.167.48 là người gửi được phép) [email protected]

Có cách nào để tôi có thể dừng các email được gửi từ mydomain.com đến một địa chỉ khác tại mydomain.com không đạt SPF không?

Điểm:1
lá cờ ng

Bạn có thể thấy rằng thư đã được nhận từ máy chủ Gandi:

Đã nhận: từ relay10.mail.gandi.net (relay10.mail.gandi.net. [2001:4b98:dc4:8::230])

Bạn có thể thấy rằng các máy chủ Gandi không được cấp phép trong bản ghi SPF:

Đã nhận-SPF: softfail (google.com: miền chuyển đổi [email protected] không chỉ định 2001:4b98:dc4:8::230 là người gửi được phép)

SPF kiểm tra đối với đường dẫn trở lại tiêu đề. Không phải thư đến từ tiêu đề. Các đường dẫn trở lại[email protected]. Do đó, bản ghi SPF của gmail.com không cho phép máy chủ Gandi gửi email bằng đường dẫn trở lại với các địa chỉ email gmail.com.

SPF hoạt động bình thường. Những gì bạn đang thấy là một điểm yếu cố hữu trong giao thức SPF liên quan đến chuyển tiếp thư. Khi thư được chuyển tiếp ở cấp độ MTA (máy chủ thư), thư đến từđường dẫn trở lại các tiêu đề không được viết lại (và cũng không nên viết lại), nhưng khi thư được chuyển tiếp đến máy chủ email của người nhận, nó sẽ đến từ máy chủ chuyển tiếp chứ không phải từ máy chủ email ban đầu của người gửi. Do đó, máy chủ email của người nhận kiểm tra SPF và thấy rằng đường dẫn trở lại tên miền không cho phép máy chủ email chuyển tiếp gửi thư.

Chuyển tiếp phá vỡ SPF. Bởi vì bạn không kiểm soát các bản ghi SPF cho gmail.com miền, bạn không thể ủy quyền cho máy chủ Gandi chuyển tiếp thư thay mặt cho gmail.Đây là lý do tại sao SPF không thể được sử dụng một mình để xác định xem thư có được phép hay không.

Bạn có bốn giải pháp (Tôi tin rằng Tùy chọn 1 và 2 yêu cầu tài khoản không gian làm việc trả phí của Google):

  1. Đảm bảo rằng khi bạn gửi email từ gmail bằng địa chỉ email bí danh, nó cũng sử dụng bí danh email trong đường dẫn trở lại tiêu đề. Đồng thời thêm các máy chủ gmail vào bản ghi SPF cho mydomain.com. Để biết thêm thông tin về cách gửi email dưới dạng bí danh với gmail, hãy xem tại đây: https://support.google.com/mail/answer/22370?hl=vi
  2. Định cấu hình bản ghi MX và gmail của bạn để email dành cho bí danh của bạn được gửi trực tiếp đến máy chủ của gmail và vào hộp thư đến của bạn, thay vì chuyển tiếp chúng qua bên thứ ba.
  3. Nhận email đến địa chỉ email bí danh của bạn ở bên thứ ba, thay vì chuyển tiếp thư. Sau đó định cấu hình Gmail để thu thập email đó từ bên thứ ba bằng cách sử dụng Nhập email từ tài khoản khác của tôi (POP3) tùy chọn trong gmail.
  4. Nếu bạn có quyền kiểm soát hành vi của máy chủ email chuyển tiếp, bạn có thể tạo quy tắc viết lại đường dẫn trở lại tiêu đề để phù hợp với thư đến từ tiêu đề khi nó chuyển tiếp email được nhận từ và được chuyển đến một trong các bí danh email của bạn.
Richard avatar
lá cờ in
Cám ơn vì cái này. Tôi nhận ra rằng tiêu đề mà tôi đưa vào thực ra là khi anh trai tôi gửi email cho tôi, hy vọng điều đó không gây ra bất kỳ sự nhầm lẫn nào. Về cấu hình email, email được gửi bằng tính năng "gửi dưới dạng địa chỉ khác" của Gmail nhưng đối với máy chủ smtp, tôi cung cấp chi tiết máy chủ smtp của chính gmail cùng với tên người dùng và mật khẩu gmail của mình. Thao tác này sẽ xóa thay mặtâ trên tất cả các email, chỉ để lại địa chỉ phù phiếm của tôi.
Appleoddity avatar
lá cờ ng
@Richard tất nhiên nó đã gây nhầm lẫn. Vui lòng cập nhật bài đăng của bạn với thông tin chính xác.
Richard avatar
lá cờ in
Tôi đã cập nhật các tiêu đề mặc dù tôi không chắc liệu đó có phải là trợ giúp bổ sung hay không vì vấn đề là như nhau bất kể tôi gửi email cho anh trai mình hay ngược lại. Tôi đã nhận thấy rằng SPF cho `mydomain.com` dường như không được kiểm tra - khiến tôi tự hỏi liệu bản ghi SPF của mình có thực sự làm gì không.
Appleoddity avatar
lá cờ ng
@Richard được rồi. Tôi đã cập nhật câu trả lời của mình.
Richard avatar
lá cờ in
Cám ơn vì cái này. Tôi đang gửi email qua Gmail và máy chủ SMTP của Gmail (sử dụng phương thức trong liên kết bạn đã cung cấp) và các email được gửi đến với `từ` là [email protected]. Tôi không thể thay đổi `đường dẫn trả lại` vì Gmail buộc nó phải là [email protected] - một hạn chế của việc không trả tiền cho GSuite.
Appleoddity avatar
lá cờ ng
Tôi thấy điều đó. @Richard Tôi đã cập nhật lại bài đăng của mình để làm rõ vấn đề và đưa ra giải pháp.
Richard avatar
lá cờ in
Cảm ơn, có ý nghĩa. Tôi nghĩ có thể có tùy chọn thứ 5 là sử dụng máy chủ SMTP thay thế cho Gmail (ví dụ: Mailgun, SendGrid hoặc Mailjet) để gửi email. Sau đó, thao tác này sẽ đặt `đường dẫn trả về` của tôi là [email protected] và quá trình kiểm tra SPF sẽ vượt qua.
Appleoddity avatar
lá cờ ng
@Richard câu hỏi hay. Tôi nghĩ rằng gmail vẫn có thể ra lệnh cho tiêu đề đường dẫn trả về ngay cả khi sử dụng smtp của bên thứ ba. Mặc dù vậy, nó đáng để thử.
Điểm:0
lá cờ cn

Vấn đề là chỉ riêng SPF đã không được coi là đủ để ngăn chặn các email không xác thực được. Ngay cả thất bại khó khăn sẽ không làm điều đó.

Điều đó đã thúc đẩy sự phát triển của DMARC. Cùng với đó, bạn có thể hướng dẫn các máy chủ nhận (bao gồm cả gửi từ nội bộ đến nội bộ) để từ chối email không vượt qua xác thực.

Bạn có thể đọc thêm về hardfail vs softfail và tại sao DMARC là câu trả lời tại đây: https://knowledge.ondmarc.redsift.com/en/articles/1148885-spf-hard-fail-vs-spf-soft-fail

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.