Score:0

ฉันสามารถหยุด SPF SOFTFAIL ใน Gmail เมื่อส่งไปยังและจากที่อยู่ที่มีนามแฝงอีเมลได้หรือไม่

ธง in

ฉันมีโดเมน vanity (mydomain.com) ที่โฮสต์โดย Gandi และกำหนดค่าด้วยชื่อแทนอีเมลสำหรับครอบครัวของฉันที่ชี้ไปยังที่อยู่ Gmail ที่เกี่ยวข้อง:

นามแฝง ที่อยู่จริง
[email protected] [email protected]
[email protected] [email protected]

และอื่น ๆ

Gmail ได้รับการกำหนดค่าให้ส่งอีเมลเป็นที่อยู่ตามตัวอักษร และฉันยังมีการตั้งค่าระเบียน SPF ด้วย:

v=spf1 รวม:_spf.google.com รวม:_spf.gpaas.net รวม:_mailcust.gandi.net ?ทั้งหมด

แม้ว่า mail-tester.com จะรายงานว่ามีการตั้งค่า SPF อย่างถูกต้อง แต่ก็เป็นไปได้ที่จะได้รับ SOFTFAIL เมื่อส่งอีเมลจาก [ใครก็ได้]@mydomain.com ถึง [ใครก็ได้]@mydomain.com:

ส่งจาก ส่งไปยัง ผลลัพธ์ SPF ของอีเมล
[email protected] [email protected] ผ่าน
[email protected] [email protected] ผ่าน
[email protected] [email protected] ผ่าน
[email protected] [email protected] ซอฟต์เฟล

ส่วนหัวของอีเมล SOFTFAIL จะเป็นดังนี้:

ส่งถึง: [email protected]
ARC-Authentication-ผลลัพธ์: i=1; mx.google.com;
       spf=softfail (google.com: โดเมนของการเปลี่ยน [email protected] ไม่ได้กำหนดให้ 2001:4b98:dc4:8::230 เป็นผู้ส่งที่อนุญาต) [email protected]
เส้นทางกลับ: <[email protected]>
ได้รับ: จาก relay10.mail.gandi.net (relay10.mail.gandi.net. [2001:4b98:dc4:8::230])
        โดย mx.google.com พร้อมรหัส ESMTPS w4-20020a05600018c400b0020ac7a84cb7si9021160wrq.441.2022.05.01.02.22.05
        สำหรับ <[email protected]>
        (เวอร์ชัน = TLS1_2 cipher = ECDHE-ECDSA-CHACHA20-POLY1305 บิต = 256/256);
        อา. 01 พฤษภาคม 2022 02:22:06 -0700 (PDT)
ได้รับ SPF: softfail (google.com: โดเมนของการเปลี่ยน [email protected] ไม่ได้กำหนด 2001:4b98:dc4:8::230 เป็นผู้ส่งที่อนุญาต) client-ip=2001:4b98:dc4:8::230;
ผลการพิสูจน์ตัวตน: mx.google.com;
       spf=softfail (google.com: โดเมนของการเปลี่ยน [email protected] ไม่ได้กำหนดให้ 2001:4b98:dc4:8::230 เป็นผู้ส่งที่อนุญาต) [email protected]
ได้รับ: จาก spool.mail.gandi.net (spool3.mail.gandi.net [217.70.178.212]) โดย relay.mail.gandi.net (Postfix) ด้วย ESMTPS id 51151240003 สำหรับ <[email protected]>; ดวงอาทิตย์,
  1 พฤษภาคม 2565 09:22:05 น. +0000 (UTC)
X-Envelope-ถึง: [email protected]
ได้รับ: จาก mail-lf1-f48.google.com (mail-lf1-f48.google.com [209.85.167.48]) โดย spool.mail.gandi.net (Postfix) ด้วย ESMTPS id 49A2CAC0C45 สำหรับ <[email protected] >; ดวงอาทิตย์,
  1 พฤษภาคม 2565 09:22:04 น. +0000 (UTC)
ได้รับ: โดย mail-lf1-f48.google.com ด้วย SMTP id w19so20836346lfu.11
        สำหรับ <[email protected]>; อา. 01 พฤษภาคม 2022 02:22:04 -0700 (PDT)
ได้รับ: จาก smtpclient.apple (cpc1-sotn14-2-0-cust79.15-1.cable.virginm.net. [81.96.148.80])
        โดย smtp.gmail.com ที่มีรหัส ESMTPSA r7-20020a2e8e27000000b0024f3d1dae9asm761964ljk.34.2022.05.01.02.22.02
        สำหรับ <[email protected]>
        (เวอร์ชั่น=TLS1_3 cipher=TLS_AES_128_GCM_SHA256 บิต=128/128);
        อา. 01 พฤษภาคม 2022 02:22:02 -0700 (PDT)
จาก: ฉัน <[email protected]>
ถึง: พี่ชายของฉัน <[email protected]>
ได้รับ-SPF: ผ่าน (spool3: โดเมนของ gmail.com กำหนด 209.85.167.48 เป็นผู้ส่งที่อนุญาต) client-ip=209.85.167.48; ซองจดหมายจาก = [email protected]; helo=mail-lf1-f48.google.com;
ผลการพิสูจน์ตัวตน: spool.mail.gandi.net; dkim=ไม่มี; dmarc=ไม่มี; spf=pass (spool.mail.gandi.net: โดเมนของ [email protected] กำหนด 209.85.167.48 เป็นผู้ส่งที่อนุญาต) [email protected]

มีวิธีใดบ้างที่ฉันสามารถหยุดอีเมลที่ส่งจาก mydomain.com ไปยังที่อยู่อื่นที่ mydomain.com ที่ไม่มี SPF

Score:1
ธง ng

คุณจะเห็นว่าได้รับจดหมายจากเซิร์ฟเวอร์ Gandi:

ได้รับ: จาก relay10.mail.gandi.net (relay10.mail.gandi.net. [2001:4b98:dc4:8::230])

คุณจะเห็นว่าเซิร์ฟเวอร์ Gandi ไม่ได้รับอนุญาตในระเบียน SPF:

ได้รับ-SPF: softfail (google.com: โดเมนของการเปลี่ยน [email protected] ไม่ได้กำหนดให้ 2001:4b98:dc4:8::230 เป็นผู้ส่งที่อนุญาต)

SPF ตรวจสอบกับ เส้นทางกลับ หัวข้อ. ไม่ใช่ จดหมายจาก หัวข้อ. เดอะ เส้นทางกลับ เป็น [email protected]. ดังนั้น ระเบียน SPF ของ gmail.com จึงไม่อนุญาตให้เซิร์ฟเวอร์ Gandi ส่งอีเมลโดยใช้ เส้นทางกลับ ด้วยที่อยู่อีเมล gmail.com

SPF ทำงานได้ตามปกติ สิ่งที่คุณเห็นคือจุดอ่อนโดยธรรมชาติในโปรโตคอล SPF เกี่ยวกับการส่งต่อจดหมาย เมื่อเมลถูกส่งต่อที่ระดับ MTA (เมลเซิร์ฟเวอร์) จดหมายจาก และ เส้นทางกลับ ส่วนหัวจะไม่ถูกเขียนใหม่ (และไม่ควรเป็นเช่นนั้น) แต่เมื่อจดหมายที่ส่งต่อมาถึงเซิร์ฟเวอร์อีเมลของผู้รับ ข้อความนั้นมาจากเซิร์ฟเวอร์ส่งต่อ ไม่ใช่จากเซิร์ฟเวอร์อีเมลดั้งเดิมของผู้ส่ง ดังนั้นเซิร์ฟเวอร์อีเมลของผู้รับจึงตรวจสอบ SPF และพบว่า เส้นทางกลับ โดเมนไม่อนุญาตให้เซิร์ฟเวอร์ส่งต่ออีเมลส่งอีเมล

การส่งต่อแบ่ง SPF เนื่องจากคุณไม่ได้ควบคุมระเบียน SPF สำหรับ gmail.com โดเมน คุณไม่สามารถอนุญาตให้เซิร์ฟเวอร์ Gandi ส่งต่อเมลในนามของ gmailด้วยเหตุนี้จึงไม่สามารถใช้ SPF เพียงอย่างเดียวเพื่อตรวจสอบว่าเมลได้รับอนุญาตหรือไม่

คุณมีวิธีแก้ไขสี่วิธี (ตัวเลือกที่ 1 และ 2 ต้องใช้บัญชี Google Workspace แบบชำระเงิน ฉันเชื่อว่า):

  1. ตรวจสอบให้แน่ใจว่าเมื่อคุณส่งอีเมลจาก gmail โดยใช้ที่อยู่อีเมลแทน ที่อยู่อีเมลนั้นยังใช้ชื่อแทนอีเมลใน เส้นทางกลับ หัวข้อ. เพิ่มเซิร์ฟเวอร์ gmail ในระเบียน SPF ด้วย มายโดเมน.คอม. สำหรับข้อมูลเพิ่มเติมเกี่ยวกับการส่งอีเมลเป็นนามแฝงด้วย gmail โปรดดูที่นี่: https://support.google.com/mail/answer/22370?hl=th
  2. กำหนดค่าระเบียน MX และ gmail เพื่อให้อีเมลที่ส่งไปยังนามแฝงของคุณถูกส่งตรงไปยังเซิร์ฟเวอร์ของ Gmail และในกล่องจดหมายของคุณ แทนที่จะส่งต่อผ่านบุคคลที่สาม
  3. รับอีเมลที่ส่งไปยังที่อยู่อีเมลแทนของคุณที่บุคคลที่สาม แทนที่จะส่งต่อข้อความ จากนั้นกำหนดค่า Gmail เพื่อรวบรวมอีเมลนั้นจากบุคคลที่สามโดยใช้ นำเข้าอีเมลจากบัญชีอื่นของฉัน (POP3) ตัวเลือกใน gmail
  4. หากคุณควบคุมพฤติกรรมของเซิร์ฟเวอร์อีเมลที่ส่งต่อได้ คุณสามารถสร้างกฎที่เขียนซ้ำได้ เส้นทางกลับ ส่วนหัวเพื่อให้ตรงกับ จดหมายจาก header เมื่อส่งต่ออีเมลที่ได้รับจากและปลายทางไปยังหนึ่งในอีเมลแทนของคุณ
Richard avatar
in flag
ขอบคุณสำหรับสิ่งนี้. ฉันรู้ว่าส่วนหัวที่ฉันใส่ไว้เป็นจริงตอนที่น้องชายของฉันส่งอีเมลถึงฉัน หวังว่านั่นจะไม่ทำให้เกิดความสับสนใดๆ เกี่ยวกับการกำหนดค่าอีเมล อีเมลจะถูกส่งโดยใช้คุณสมบัติส่งเป็นที่อยู่อื่นของ Gmail แต่สำหรับเซิร์ฟเวอร์ smtp ฉันให้รายละเอียดเซิร์ฟเวอร์ smtp ของ gmail พร้อมชื่อผู้ใช้และรหัสผ่าน gmail ของฉัน การดำเนินการนี้จะลบ "ในนามของ" ในอีเมลทั้งหมด เหลือเพียงที่อยู่ตามตัวอักษรของฉัน
Appleoddity avatar
ng flag
@Richard แน่นอนว่ามันทำให้เกิดความสับสน โปรดอัปเดตโพสต์ของคุณด้วยข้อมูลที่ถูกต้อง
Richard avatar
in flag
ฉันได้อัปเดตส่วนหัวแล้ว แม้ว่าฉันจะไม่แน่ใจว่าเป็นความช่วยเหลือเพิ่มเติมหรือไม่ เนื่องจากปัญหายังคงเหมือนเดิมไม่ว่าฉันจะส่งอีเมลถึงพี่ชายของฉันหรือส่งกลับกันก็ตาม ฉันสังเกตเห็นว่า SPF สำหรับ `mydomain.com` ดูเหมือนจะไม่มีการตรวจสอบเลย ทำให้ฉันสงสัยว่าระเบียน SPF ของฉันกำลังทำอะไรอยู่
Appleoddity avatar
ng flag
@ริชาร์ด โอเค ฉันได้อัปเดตคำตอบแล้ว
Richard avatar
in flag
ขอบคุณสำหรับสิ่งนี้. ฉันกำลังส่งอีเมลผ่าน Gmail และเซิร์ฟเวอร์ SMTP ของ Gmail (โดยใช้วิธีการในลิงก์ที่คุณให้ไว้) และอีเมลมาถึงด้วย "จาก" เป็น [email protected] ฉันไม่สามารถเปลี่ยน "เส้นทางย้อนกลับ" ได้เนื่องจาก Gmail บังคับให้เป็น [email protected] ซึ่งเป็นข้อจำกัดของการไม่ชำระค่าบริการ G Suite
Appleoddity avatar
ng flag
ฉันเห็นว่า @Richard ฉันได้อัปเดตโพสต์ของฉันอีกครั้งเพื่อชี้แจงปัญหาและให้แนวทางแก้ไข
Richard avatar
in flag
ขอบคุณ มีเหตุผล ฉันคิดว่าอาจมีตัวเลือกที่ 5 ซึ่งจะใช้เซิร์ฟเวอร์ SMTP สำรองกับ Gmail (เช่น Mailgun, SendGrid หรือ Mailjet) เพื่อส่งอีเมล สิ่งนี้จะตั้งค่า `return-path` ของฉันเป็น [email protected] และการตรวจสอบ SPF ก็จะผ่าน
Appleoddity avatar
ng flag
@ ริชาร์ดเป็นคำถามที่ดี ฉันคิดว่า gmail ยังสามารถกำหนดส่วนหัวของเส้นทางย้อนกลับได้แม้ว่าจะใช้ smtp ของบุคคลที่สามก็ตาม มันคุ้มค่าที่จะลองยิงดู
Score:0
ธง cn

ปัญหาคือค่า SPF เพียงอย่างเดียวไม่เพียงพอที่จะหยุดอีเมลที่ไม่ผ่านการรับรองความถูกต้อง แม้แต่ความล้มเหลวอย่างหนักก็ไม่ทำเช่นนั้น

ซึ่งเป็นแรงกระตุ้นในการพัฒนา DMARC ด้วยวิธีนี้ คุณสามารถสั่งให้เซิร์ฟเวอร์ที่รับ (รวมทั้งที่ส่งจากภายในสู่ภายใน) ให้ปฏิเสธอีเมลที่ไม่ผ่านการตรวจสอบสิทธิ์

คุณสามารถอ่านเพิ่มเติมเกี่ยวกับ hardfail vs softfail และเหตุใด DMARC จึงเป็นคำตอบได้ที่นี่: https://knowledge.ondmarc.redsift.com/th/articles/1148885-spf-hard-fail-vs-spf-soft-fail

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา