Eu executo um servidor de correio virtual que encaminha e-mails do meu domínio para um endereço do Gmail e uso o PostSRSd para reescrever os endereços. Por exemplo, se alguém enviar um e-mail para [email protected]
, meu servidor de e-mail reescreverá o endereço (para algo como [email protected]
) e o encaminhará para meu e-mail em [email protected]
.
Essa reescrita é essencial, porque, caso contrário, os e-mails encaminhados falharão nas verificações de SPF. Não tenho certeza se falhará no DKIM se o endereço não for reescrito, mas presumo que sim.
PostSRSd funciona bem para nós na maioria das vezes. Os e-mails para nosso domínio virtual passam SPF, DKIM e DMARC, o que torna a capacidade de entrega excelente. Aqui está o cabeçalho de e-mail típico para as verificações:
Authentication-Results: mx.google.com;
dkim=pass [email protected] header.s=hs1 header.b=fFjMRTbn;
dkim=pass [email protected] header.s=hs2-8105018 header.b=AHU209VN;
spf=pass (google.com: domain of srs0=8nnb=bp=bf08x.hubspotemail.net=1axb6baq5yhbqc79kzmzee6yv7e5d09kmo07f2-john=mydomain.com@mydomain.com designates 123.234.123.124 as permitted sender) smtp.mailfrom="SRS0=8nNb=BP=bf08x.hubspotemail.net=1axb6baq5yhbqc79kzmzee6yv7e5d09kmo07f2-john=imago-images.de@mydomain.com";
dmarc=pass (p=QUARANTINE sp=QUARANTINE dis=NONE) header.from=imago-images.de
No entanto, os e-mails de um domínio específico ichat.sp.edu.sg
(este é o domínio real) nunca são entregues se tentarem enviar e-mails para o meu domínio, porque o processo de encaminhamento faz com que ele falhe nas verificações DMARC do Gmail. Aqui está o cabeçalho de um desses e-mails:
Authentication-Results: mx.google.com;
dkim=pass [email protected] header.s=selector2-ichatspedu-onmicrosoft-com header.b="LeXRlSh/";
arc=pass (i=1 spf=pass spfdomain=ichat.sp.edu.sg dkim=pass dkdomain=ichat.sp.edu.sg dmarc=pass fromdomain=ichat.sp.edu.sg);
spf=pass (google.com: domain of [email protected] designates 123.234.123.124 as permitted sender) smtp.mailfrom="[email protected]";
dmarc=fail (p=NONE sp=NONE dis=NONE) header.from=sp.edu.sg
Não tenho certeza do que causa a falha do DMARC neste caso específico. O ChatGPT (assim como o Postfix) diz que tem algo a ver com os registros DMARC de sp.edu.sg
, mas não tenho muita certeza do que é. Alguém pode ajudar? E posso fazer alguma coisa da minha parte para aliviar isso se sp.edu.sg
não fizer nada?
Para referência, aqui está o TXT
registro para _dmarc.sp.edu.sg
:
v=DMARC1; p=reject; rua=mailto:[email protected], mailto:[email protected]; ruf=mailto:[email protected]; fo=1
O DMARC não apenas exige que SPF ou DKIM PASS, mas também exige que os domínios usados por qualquer um desses dois protocolos se ALINHAM com o domínio encontrado no endereço “De”. Só então o DMARC PASSA.
DKIM: ichatspedu.onmicrosoft.com
SPF: ichat.sp.edu.sg
header.from=sp.edu.sg
então isso não vai funcionar. Presumo que no e-mail que funcionou, você redigiu um endereço de e-mail imago-images.de no SPF ([email protected])?
tente adicionar um subdomínio TXT DMARC para ichat.sp.edu.sg em vez de confiar na tag sp padrão (vazia) no domínio pai.
Por que o DMARC falhou
No cabeçalho com falha, nem os domínios SPF nem DKIM se alinham com
ichat.sp.edu.sg
, e isso causou a falha do DMARC.Parece que eles não assinam DKIM usando seu próprio domínio e dependem do domínio SPF para passar no alinhamento DMARC, que foi reescrito pelo seu encaminhador. (Ou talvez seus servidores de e-mail não estejam configurados corretamente e o DMARC falhe com ou sem seu encaminhador.)
As explicações para o alinhamento do DMARC podem ser encontradas na Wikipédia . Basicamente, ele afirma que o domínio no cabeçalho de uma mensagem deve corresponder a um dos domínios em SPF ou DKIM.
Além disso, todos os e-mails que dependem do domínio SPF e não do domínio DKIM para passar pelo DMARC não passarão pelo DMARC após o seu encaminhador.
Acho que não há nada que você possa fazer, se você não for de
ichat.sp.edu.sg
.maneiras melhores
... para conseguir o que você está tentando fazer seria:
Para designar seu servidor como um gateway de e-mail de entrada do Gmail , o que requer assinaturas do Google Workspace. O Google não testará o DMARC para isso.
Ou você pode tentar inserir e-mails encaminhados programaticamente usando a API do Gmail . Você não usará SMTP e não precisará passar em nenhum teste.