Назад | Перейти на главную страницу

include: _spf.google.com недостаточно для Hotmail

Мой SPF

neland.dk descriptive text "v=spf1 a:mail6.paradiss.dk a:min.moar.dk 
a:arnold.neland.dk include:_spf.google.com -all"

Я получаю эту ошибку при отправке с gmail.com как leif@neland.dk

Technical details of permanent failure:
Google tried to deliver your message, but it was rejected by the server for 
the recipient domain hotmail.com by mx4.hotmail.com. [65.55.37.72].

The error that the other server returned was:
550 5.7.0 (COL0-MC1-F16) Unfortunately, messages from (209.85.219.42) on 
behalf of  (neland.dk ) could not be delivered due to domain owner policy restrictions.

_spf.google.com включает

_spf.google.com descriptive text "v=spf1 include:_netblocks.google.com
include:_netblocks2.google.com include:_netblocks3.google.com ~all"

который содержит 209.85.219.42

Так почему Hotmail не принимает мою почту? У меня также есть DKIM и DMARC для neland.dk

_dmarc.neland.dk descriptive text "v=DMARC1\; p=reject\; rua=mailto:leif@neland.dk"

Имеет ли значение мой DKIM, если почта подписана не моим собственным сервером, а Google?

«ограничение политики» является ключевым здесь. Ваша запись DMARC требует, чтобы все неподтвержденные сообщения, якобы отправленные из вашего домена, были отклонены. (p=reject). В этом случае соблюдается политика.

Как вы, возможно, знаете, здесь задействованы 3 похожие, но разные концепции проверки личности:

  1. Подтверждение отправитель легитимность (SPF)
  2. Целостность сообщения проверки, обеспечиваемая подписавший (DKIM)
  3. Подтверждение вышеизложенного в отношении автор (DMARC)

Проверка DMARC осуществляется по принципу «все или ничего» (если отправитель или подписавший скомпрометированы, проверка авторства будет бесполезной). Из спецификация DMARC (§3.4):

DMARC не имеет положения о «коротком замыкании», например, указав, что проход от одного теста аутентификации позволяет одному пропускать другой (ие). Все это необходимо для отчетности.

Теперь по поводу вашего вопроса:

"Имеет ли значение мой DKIM, если почта подписана не моим собственным сервером, а Google?"

Ну да, тогда это вдруг имеет значение. Теперь Hotmail необходимо выяснить, предоставил ли автор ("leif@neland.dk") полномочия подписавшему домену. Информация, необходимая для проверки этого мандата, не существует, и, следовательно, сообщение «не может быть доставлено из-за ограничений политики владельца домена».

Просто сгенерируйте DKIM-ключ для GMail, который будет использоваться для подписи сообщений, отправленных как neland.dk и убедитесь, что ключ GMail опубликован в DNS.

GMail всегда подписывает сообщения с помощью префикса селектора Google, поэтому ключ должен быть опубликован по адресу google._domainkey.neland.dk - теперь, когда MX на hotmail.com получает сообщение от GMail, которое можно проверить с помощью обе механизмы (SPF и DKIM) и вам не придется отклонять сообщение.

К счастью, Google подготовил для владельцев доменов небольшое пошаговое руководство по внедрению DKIM в GMail / Apps:

Служба поддержки Google: аутентификация электронной почты с помощью DKIM

Я сделал это так, что позволил Google отправлять почту с моего собственного почтового сервера, поскольку я, по-видимому, не могу установить закрытый ключ или получить открытый ключ для google._domainkey.neland.dk без приложений Google для бизнеса.

Теперь мой собственный сервер подписывает почту.