На клиентском компьютере с IP-адресом а.а.а.а, есть почтовый клиент, который использует SMTP для отправки писем через почтовый сервер компании. example.com с IP-адресом b.b.b.b.
Почтовый сервер компании example.com имеет запись SPF, которая включает IP-адрес b.b.b.b.
Используя вышеуказанную настройку, электронное письмо отправляется как обычный адрес Gmail address@gmail.com и адрес приложений Google address@another_example.com, с адресом отправителя author@example.com.
Два получающих аккаунта дают разные результаты SPF.
В Gmail:
Received-SPF: pass (google.com: domain of author@example.com designates b.b.b.b as permitted sender) client-ip=b.b.b.b;
Однако в Google Apps:
Received-SPF: softfail (google.com: domain of transitioning author@example.com does not designate a.a.a.a as permitted sender) client-ip=a.a.a.a;
Обратите внимание, что при неудачных проверках SPF Google Apps проверяет запись SPF на соответствие IP-адресу моего клиента a.a.a.a, который не добавляется и не должен добавляться в запись SPF.
Как указано выше, это всего лишь одно сообщение электронной почты, которое отправляется на два разных адреса.
Не должно возникнуть вопросов, правильно ли настроена запись SPF для example.com, и обычный Gmail это подтверждает. Вопрос в том, зачем Google Apps проверять клиентский IP-адрес a.a.a.a?
Полный заголовок, как показано в Gmail и Google Apps:
Gmail
Delivered-To: address@gmail.com
Received: by 10.50.155.1 with SMTP id vs1csp2310853igb;
Tue, 14 Apr 2015 13:24:07 -0700 (PDT)
X-Received: by 10.202.184.3 with SMTP id i3mr12882037oif.61.1429043047220;
Tue, 14 Apr 2015 13:24:07 -0700 (PDT)
Return-Path: <author@example.com>
Received: from mail.example.com (mail.example.com. [b.b.b.b])
by mx.google.com with ESMTP id u128si1421479oig.11.2015.04.14.13.24.07
for <address@gmail.com>;
Tue, 14 Apr 2015 13:24:07 -0700 (PDT)
Received-SPF: pass (google.com: domain of author@example.com designates b.b.b.b as permitted sender) client-ip=b.b.b.b;
Authentication-Results: mx.google.com;
spf=pass (google.com: domain of author@example.com designates b.b.b.b as permitted sender) smtp.mail=author@example.com
Received: from x.x.tld ([a.a.a.a])
by mail.example.com (IBM Domino Release 9.0.1FP2 HF590)
with ESMTP id 2015041415240678-1040231 ;
Tue, 14 Apr 2015 15:24:06 -0500
From: author@example.com <author@example.com>
Subject: test spf
Message-Id: <B39FB647-AD58-41C1-9C9E-F61355F3C1DF@example.com>
Date: Tue, 14 Apr 2015 15:24:06 -0500
To: address@gmail.com, address@another_example.com
Mime-Version: 1.0 (Mac OS X Mail 8.2 \(2098\))
X-Mailer: Apple Mail (2.2098)
X-MIMETrack: Itemize by SMTP Server on XXX(Release 9.0.1FP2 HF590|December 11, 2014) at
04/14/2015 03:24:06 PM,
Serialize by Router on XXXX (Release 9.0.1FP2 HF590|December 11, 2014) at
04/14/2015 03:24:07 PM,
Serialize complete at 04/14/2015 03:24:07 PM
X-TNEFEvaluated: 1
Content-Transfer-Encoding: 7bit
Content-Type: text/plain; charset=us-ascii
Google Apps:
Delivered-To: address@another_example.com
Received: by 10.112.136.137 with SMTP id qa9csp2056333lbb;
Tue, 14 Apr 2015 13:24:08 -0700 (PDT)
X-Received: by 10.60.52.237 with SMTP id w13mr17898646oeo.58.1429043047841;
Tue, 14 Apr 2015 13:24:07 -0700 (PDT)
Return-Path: author@example.com
Received: from mail.example.com (mail.example.com. [b.b.b.b])
by mx.google.com with ESMTP id uv7si1397910obc.93.2015.04.14.13.24.07
for <address@another_example.com>;
Tue, 14 Apr 2015 13:24:07 -0700 (PDT)
Received-SPF: softfail (google.com: domain of transitioning author@example.com does not designate a.a.a.a as permitted sender) client-ip=a.a.a.a;
Authentication-Results: mx.google.com;
spf=softfail (google.com: domain of transitioning author@example.com does not designate a.a.a.a as permitted sender) smtp.mail=author@example.com
Received: from x.x.tld ([a.a.a.a])
by mail.example.com (IBM Domino Release 9.0.1FP2 HF590)
with ESMTP id 2015041415240678-1040231 ;
Tue, 14 Apr 2015 15:24:06 -0500
From: <author@example.com>
Subject: test spf
Message-Id: <B39FB647-AD58-41C1-9C9E-F61355F3C1DF@example.com>
Date: Tue, 14 Apr 2015 15:24:06 -0500
To: address@another_example.com, address@gmail.com
Mime-Version: 1.0 (Mac OS X Mail 8.2 \(2098\))
X-Mailer: Apple Mail (2.2098)
X-MIMETrack: Itemize by SMTP Server on XXX (Release 9.0.1FP2 HF590|December 11, 2014) at
04/14/2015 03:24:06 PM,
Serialize by Router on XXX(Release 9.0.1FP2 HF590|December 11, 2014) at
04/14/2015 03:24:07 PM,
Serialize complete at 04/14/2015 03:24:07 PM
X-TNEFEvaluated: 1
Content-Transfer-Encoding: 7bit
Content-Type: text/plain; charset=us-ascii
Насколько я могу судить, проблема заключается в настройке электронной почты клиентов. Похоже, что он использует локальный почтовый сервер или почтовые серверы ISP этого человека, а не разговаривает напрямую с SMTP-серверами Google. На основании строк
Получено: от x.x.tld ([a.a.a.a]) по mail.example.com (IBM Domino Release 9.0.1FP2 HF590)
Это похоже на то, что клиент отправляет электронное письмо через какой-то другой почтовый сервер. Журналы Google Apps верны. Письмо не должно проходить проверку SPF. Однако, поскольку электронная почта разрешена в системе электронной почты вашей компании, она все равно проходит.
Причина, по которой эти две проверки различаются, вероятно, связана с тем, что учетная запись Google Apps компании имеет параметр, расположенный в консоли администратора «Приложения -> Google Apps -> Настройки для Gmail -> Расширенные настройки», а затем под заголовком спама параметр с именем «Шлюз входящей почты» будет иметь указанный адрес bbbb. Однако, если адрес b.b.b.b является одним из IP-адресов в записи MX для домена, он ДОЛЖЕН быть указан там, в противном случае его, вероятно, необходимо удалить оттуда и поместить в запись SPF, если это еще не сделано. Что этот параметр делает с проверкой SPF, так это то, что он сообщает Google, что IP-адрес, на который он должен смотреть, мог попасть на предыдущий публичный IP-переход MTA перед этим адресом b.b.b.b.
Это полезно для таких компаний, как наша, которые используют наши собственные серверы, как в нашей записи MX, а затем для сотрудников, использующих электронную почту Google Apps, наши серверы направляют электронную почту на серверы Google. Если бы в этом случае Google проводил регулярную проверку SPF, он бы подумал, что вся электронная почта поступает с IP-адреса, такого как b.b.b.b, и проверка SPF была бы бесполезной.
Причина, по которой получатель Gmail показывает это иначе, заключается в том, что разные серверы Google обрабатывают это электронное письмо, которые ничего не знают о настройке «Шлюз входящей почты» и видят только то, что последний публичный IP-адрес MTA сообщения электронной почты перед серверами Google был b.b.b.b.
См. Страницу справки Google о «Шлюзе входящей почты» здесь https://support.google.com/a/answer/60730?hl=en
В итоге
Исправьте настройки электронной почты клиента, чтобы использовать SMTP-серверы Google. Если пользователь жалуется, что у него нет времени исправить это, то нарушите его электронную почту, заблокировав ее отправку, изменив программный сбой на полный сбой.