Допустим, у меня есть:
На какой IP смотрит C?
Пытается ли он найти IP-адрес A в заголовках «Получено» (например, пытаясь найти первый неперсонализированный IP-адрес)? Или он использует исходный IP-адрес соединения, установленного в этом случае от B?
Я вижу, что, например, googlemail, похоже, делает последнее. Хотя похоже, что один из наших местных провайдеров, похоже, делает первое.
https://tools.ietf.org/html/rfc7208 действительно не просветляет меня по этому основному пункту. Я нашел косвенную фразу
Поскольку оценка SPF основана на IP-адресе «последнего» отправляющего SMTP-сервера
в разделе 10.3. но я думаю, что где-то должно быть более четкое определение.
Received: from заголовки ненадежны, за исключением случаев, когда они помещаются туда серверами, находящимися под вашим контролем, поэтому нет смысла их проверять. Даже если они мы надежно, многие из них происходят из-за внутренних перемещений электронной почты внутри инфраструктуры отправителя, о которых SPF ничего не говорит, поэтому было бы неуместно их проверять.
Фактически, это предложение, которое вы цитируете, является точным и недвусмысленным: когда ваш сервер выполняет проверку SPF на соответствие RFC для входящей электронной почты, все, что его заботит, - это адрес сервера, который пытается отправить электронное письмо. Или, как сказано в разделе 4.1 RFC, на который вы указываете:
Функция check_host () принимает следующие аргументы:
- IP-адрес SMTP-клиента, отправляющего почту, IPv4 или IPv6
Если этот адрес находится в диапазоне, разрешенном соответствующей записью, электронное письмо должно пройти; в противном случае его судьба должна упасть на all запись, и с ней следует обращаться соответственно.
Конечно, возможно, что некоторые провайдеры исследуют предполагаемую цепочку ретрансляционных адресов более глубоко, но это (а) не часть SPF RFC и (б) полностью их собственный бизнес.