Po nastavení SPF jsou odmítány maily, pokud je příjemce přeposílá na Gmail
Dobrý den, včera jsem provedl nastavení SPF dle návodu na Vašich stránkách (https://kb.wedos.com/cs/webhosting/e-maily/e-maily-nastaveni-spf-zaznamu/#casto-kladene-dotazy) na své doméně nejakawedosdomena.cz Maily odesílám přes webový server wes1-smtp.wedos.net – viz info z nastavení v Gmailu:
EMAILUCET <****@nejakawedosdomena.cz>
Mail is sent through: wes1-smtp.wedos.net
Secured connection on port 465 using SSL
DNS nastavení viz obrázek (DKIM je nastaveno také).
Příjemce má nastaveno automatické přeposílání na Gmail účet, tady dochází k problému a e-mail je zamítnut – detailní hlášení viz níže:
This is the mail system at host relay.web4ce.cz.
I’m sorry to have to inform you that your message could not
be delivered to one or more recipients. It’s attached below.
For further assistance, please send mail to postmaster.
If you do so, please include this problem report. You can
delete your own text from the attached returned message.
The mail system
<****@gmail.com>: host gmail-smtp-in.l.google.com[142.250.102.27]
said: 550-5.7.26 The MAIL FROM domain [nejakawedosdomena.cz] has an SPF record with
a hard fail 550-5.7.26 policy (-all) but it fails to pass SPF checks with
the ip: 550-5.7.26 [93.190.48.174]. To best protect our users from spam and
phishing, 550-5.7.26 the message has been blocked. Please visit 550-5.7.26
https://support.google.com/mail/answer/81126#authentication for more 550
5.7.26 information. s19-20020a056402521300b0043d99f453f1si1031834edd.64 –
gsmtp (in reply to end of DATA command)
Jak, prosím, správně nastavit SPF, aby odeslaná pošta z domény kobersky.cz nebyla zamítána?
Řešení podobného problému jsem našel ve Vaší KB, ale cílové řešení chybělo – odkaz na článek zde:
Předem děkuji za Vaši pomoc.
S přátelským pozdravem,
LK
4 Answers
Tak nastavení záznamu s IPv6 adresou webhostingu, v mém případě ve formátu
v=spf1 mx a ip6:2a02:2b68:1::4:12 include:_spf.we.wedos.net -all
(Pozn: Skutečná adresa je jiná, lehce jsem pozměnil.)
vede bohužel na stejný výsledek jako ve Variantě 1.
Takže pro mě je nejmenším zlem celý SPF záznam smazat, bohužel mi nebudou některé maily doručovány, a to u odesilatelů, kteří mají nastavenou přísnou bezpečnostní politiku. Řadu let funkční přeposílání na Gmail účet tak bohužel asi nebude dlouhodobě udržitelným řešením. Možná budu muset nastavit stahování přes POP jak je uvedeno v původním článku zde, ale toto řešení mi připadne poněkud archaické….
Jakékoliv nápady vítány.
Předem děkuji,
LK
Zkoušel jsem experimentovat se syntaxí „Qualifiers před parametrem „all“ (viz například https://powerdmarc.com/spf-record-syntax/ ) , a to s následujícími výsledky:
Varianta 1:
v=spf1 mx a include:_spf.we.wedos.net -all
Chování detailně popsáno viz výše, dále nepopisuji.
Varianta 2:
v=spf1 mx a include:_spf.we.wedos.net ~all
e-mail je příjemci doručen, ale s následujícím varováním v Gmailu:
Varianta 3:
v=spf1 mx a include:_spf.we.wedos.net +all
e-mail je zamítnut a vrácen odesilateli s následujícím chybovým hlášením:
This is the mail system at host relay.web4ce.cz.
I’m sorry to have to inform you that your message could not
be delivered to one or more recipients. It’s attached below.
For further assistance, please send mail to postmaster.
If you do so, please include this problem report. You can
delete your own text from the attached returned message.
The mail system
<gmailprijemce@gmail.com>: host gmail-smtp-in.l.google.com[142.250.27.27]
said: 550-5.7.1 [93.190.48.174 12] Our system has detected that this
message is 550-5.7.1 likely unsolicited mail. To reduce the amount of spam
sent to Gmail, 550-5.7.1 this message has been blocked. Please visit
550-5.7.1 https://support.google.com/mail/?p=UnsolicitedMessageError 550
5.7.1 for more information.
dd17-20020a1709069b9100b0072f190400f7si2172296ejc.1 – gsmtp (in reply to
end of DATA command)
Varianta 4:
v=spf1 mx a include:_spf.we.wedos.net ?all
Na straně příjemce stejné varování jako ve Variantě 2, ale bohužel i u velké části přijatých mailů na ****@nejakawedosdomena.cz a přesměrované na ****@gmail.com se bohužel objeví stejné varování.
Pracovní závěr: Žádné z nastavení nefunguje dobře, nastavení s +all a ?all lze rovnou vyloučit, u nastavení ~all budou pravděpodobně skoro všechny Vaše maily doručovány jako podezřelé, takže toto řešení fakticky také není použitelné. Zatím jsou tedy 2 špatná řešení – SPF s parametrem -all – bude ovšem zřejmě zamítat všechny Vaše maily, které si příjemce, na kterého posíláte, posíláte na jiný účet, zejména Gmail. Nebo SPF záznam smazat, v tom případě ovšem hrozí riziko, že Vám ne všechny maily budou chodit (pokud máte nastaveno jako já automatické přeposílání z ****@nejakawedosdomena.cz a přesměrované na ****@gmail.com). Na podpoře Wedosu doporučili přidat adresu IPv6 do SPF záznamu, tuto variantu ještě zkusím a podám zprávu o výsledku.
Kdybyste měli jakékoliv další tipy, jak problém vyřešit, samozřejmě uvítám.
Velice děkuji!
Dobrý den, děkuji za odpověď,
nevím, jestli máme úplně stejné vnímání. U sebe to mám nastaveno tak, že mám doménu nejakawedosdomena.cz registrovanou u Vás a všechny e-maily zasílané na ****@nejakawedosdomena.cz se mi v nastavení Vaší pošty přepošlou na ****@gmail.com a smažou se. Jako primární soukromý klient používám Gmail, tam mám nastaveno zasílání přes Vaše SMTP servery pod účtem ****@nejakawedosdomena..cz, viz předchozí obrazovka, takže tam vše nastaveno je (to jest Gmail je jako e-mailový klient již nastaven).
Příjemce má povoleno automatické přeposílání na Gmail účet. Konkrétně se přeposílá z adresy: xxxx@domenaprijemce.cz na xxxx@gmail.com Změny nastavení na straně Web4CE nejsou bohužel reálné, protože memohu administrovat mail server příjemce.
U sebe na doméně nejakawedosdomena.cz jsem musel nastavit včera SPF záznamy, protože stále více cizích e-mailů začalo být zamítáno, například řada mailů z e-shopů nebo dokonce z kontaktního centra Českých drah. K problému došlo v kaskádě 1) externí subjekt pošle na 2) ****@nejakawedosdomena.cz, a to je ihned přeposláno na 3) ****@gmail.com. V posledním kroku bylo zamítnuto, tj. při přeposílání z mé domény. Nastavení SPF zřejmě pomohlo (ale je ještě přílliš krátce na vyhodnocení) v tom, že mi nyní maily zdá se chodí a dorazí, vytvořil jsem si ovšem jiný problém, že začínají být zamítány maily, které odešlu.
Tj. v tomto konkrétním případě pošlu mail z 1) ****@nejakawedosdomena.cz na 2) ****@domenaprijemce.cz a z této adresy se přepošle na 3) ****@gmail.com Z důvodu nastavení SPF nyní v 3. kroku je mail zamítán. Před nastavením SPF na mé straně jsem nikdy problém s posíláním na konkrétní Gmail příjemce neměl.
Pokud Vás nenapadá nic lepšího, zkusím zmírnit záznam a uvidím, jestli to bude fungovat či nikoliv. Pokud Vás zajímá výsledek, který by pomohl ostatním uživatelům, dám vědět. Pokud máte nějaké další tipy, uvítám je.
Přeji hezký den a každopádně děkuji za snahu.
S přátelským pozdravem,
LK
Dobrý den,
obecně je nastavení SPF v pořádku, podle hlášky „The MAIL FROM domain [nejakawedosdomena.cz] has an SPF record with a hard fail policy (-all) but it fails to pass SPF checks with the ip: 93.190.48.174“ problém nastává v okamžiku, kdy zprávu přeposílá Web4ce (IP adresa 93.190.48.174). Tato adresa není v SPF záznamu, protože servery Web4ce nejsou oprávněny poštu pod Vaší doménou odesílat.
Problém je v tom, že přesně takto SPF fungovat má – zajistit, aby pod Vaší doménou maily neposílal nikdo neautorizovaný, v tomto případě mailserver Web4ce. Pokud záznam zmírníte (například použitím ~all nebo ?all místo -all) nebo zcela odstraníte, Google maily může řadit mezi SPAM či zcela odmítat na základě svých vlastních pravidel pro příjem pošty.
Co jsem k této problematice dohledal, existuje nastavení na straně přeposílatele, které změní hodnotu parametru MAIL FROM tak, aby SPF záznamu nepřekáželo, ale více podrobností Vám k tomu bohužel spolehlivě říct nedokážu. Zkuste se obrátit na podporu Mail4ce ohledně tohoto problému s přesměrováním a zjistit, zda jsou schopni toto technicky řešit na straně jejich přeposílacího mailserveru.
Alternativně bych doporučil nastavit místo přeposílání Gmail jako e-mailový klient.