Gmail не проходит проверку SPF на основе IP-адреса клиента. Это соответствующие заголовки:
Received-SPF: fail (google.com: domain of johndoe@example.com does not designate 164.77.240.58 as permitted sender) client-ip=164.77.240.58;
Received: from johndoe (unknown [164.77.240.58])
by mail.example.com (Postfix) with ESMTP id 993643FE2D
IP-адрес клиента (164.77.240.58) - это IP-адрес компьютера johndoe. IP-адрес отправителя, адрес mail.example.com, включен в запись SPF.
Почему Gmail не работает на основе IP-адреса клиента, а не IP-адреса отправителя? Так должен работать SPF?
Сначала извлеките spf-запись example.com:
$ dig -t spf mail.example.com
Убедитесь, что example.com находится в списке отправителей. Ваша spf-запись должна выглядеть примерно так:
"v=spf1 a:mail.example.com a:cname.example.com -all"
Возьмите любые перечисленные доменные имена и выполните поиск в DNS, чтобы получить IP-адреса:
$ dig mail.example.com
Затем выполните поиск PTR, чтобы получить обратное DNS-имя для IP:
$ dig -x XX.XX.XX.XX
Обратный поиск IP должен соответствовать одной из записей, перечисленных в записи spf. Было бы полезно начать с записи spf, чтобы мы могли видеть, что происходит.
Да, Google будет прав в определении отказа SPF. IP-адрес, который следует проверить, - это адрес, который подключается к почтовому серверу Google. Поскольку для Google нет полученного заголовка, я подозреваю, что ваш почтовый сервер проверяет SPF на соединении. Он должен проверять SPF только на наличие неаутентифицированных подключений из Интернета. Локальные и аутентифицированные соединения должны обходить проверку SPF.
SPF предназначен для обеспечения того, чтобы отправляющий компьютер был разрешен отправляющим доменом. Обычно домен имеет 1 или 2 почтовых сервера, которые обрабатывают всю электронную почту, отправляемую или получаемую из Интернета. Эти адреса должны быть теми, которые указаны в записи SPF для домена.
В таком случае, johndoe похоже, подключается к почтовому серверу домена. Если сервер не находится в сети домена, обычно используется аутентифицированное соединение на порту представления (587). Затем почтовый сервер должен переслать сообщение в Gmail, и SPF должен пройти. Если SPF по-прежнему не работает, необходимо исправить запись SPF, чтобы включить IP-адрес почтового сервера. Есть несколько механизмов, которые можно использовать.
Мой Политика электронной почты гарантирует, что вся законная почта, отправляемая с моего домена, будет проходить SPF. Существуют службы, которые пересылают сообщения от имени моих пользователей, которые не работают с SPF. Однако зарегистрированные отказы, полученные от серверов, проверяющих DMARC все должны быть спамерами.