Hallo,

Ik weet niet of ik hier in het goede subforum zit, maar we proberen het toch maar :) Ik probeer nu al een tijdje om fatsoenlijke SPF records in te stellen voor mijn servers. De situatie is als volgt (alle namen/IPs zijn fictief):

Ik heb voor onszelf een domeinnaam, laten we deze mijndomein.nl noemen. Uiteraard heb ik volledige controle over de DNS etc.

Nu heb ik voor dit domein 2 servers draaien: server1 en server2. De IP configuratie ziet als volgt uit:

server1 (mailserver):
192.168.1.1 < server1.mijndomein.nl
192.168.1.2 < mail.mijndomein.nl
192.168.1.3 < webmail.mijndomein.nl

server2 (webserver)
192.168.2.1 < server2.mijndomein.nl
192.168.2.2 < www.mijndomein.nl
192.168.2.3 < nog enkele andere domeinen

Nu draait op server2 een script dat e-mails moet versturen via PHP. Lukt allemaal prima, mail komt ook gewoon aan. Nu heb ik verschillende SPF syntaxen geprobeerd, maar ik zie continu dit terug in de headers van bijv. GMail:


Received-SPF: softfail (google.com: domain of transitioning no-reply@mijndomein.nl does not designate 192.168.2.1 as permitted sender) client-ip=192.168.2.1;
Authentication-Results: mx.google.com; spf=softfail (google.com: domain of transitioning no-reply@mijndomein.nl does not designate 192.168.2.1 as permitted sender) smtp.mail=no-reply@mijndomein.nl

Verstuur ik via de mailserver een mailtje, dan krijg ik dit:


Received-SPF: pass (google.com: domain of redah@mijndomein.nl designates 192.168.1.2 as permitted sender) client-ip=192.168.1.2;

De SPF die ik had bedacht is als volgt:


v=spf1 mx a mx:server2.mijndomein.nl ~all

...Maar dat werkt niet. Hoe kan ik er nu voor zorgen dat server2 ook 'gemachtigd' is om e-mail te versturen vanuit domein mijndomein.nl?

Mijn tweede MX had ook problemen met gmail. Nog niet voldoende kunnen testen maar deze oplossing heb ik bij gmail zelf gevonden:
v=spf1 include:_spf.google.com ~all

Staan de servers ook daadwerkelijk in een ander netwerk?

De fout zit in "mx:server2.mijndomein.nl", hiermee zeg je namelijk "accepteer ook de servers die als MX-record van server2.mijndomein.nl staan". Dit lijkt me niet wat je wilt, aangezien server2.mijndomein.nl de daadwerkelijke SMTP-server is (afgaande op client-ip=192.168.2.1). Met andere woorden, je wilt dat het A-record wordt gepakt van server2.mijndomein.nl:


v=spf1 +mx +a +a:server2.mijndomein.nl ~all

Ikzelf gebruik trouwens altijd -all, ~all vind ik altijd zoiets van ik heb SPF, maar ben er nog niet helemaal zeker van dat het werkt :)

Ik heb bovenstaand nu in mijn DNS gezet (je hebt gelijk, ik had verkeerd gelezen in een wizard en daardoor een MX verwijzing ipv een A), maar helaas... Hoewel SPF checkers zeggen dat de entry prima is, blijft Google me vertellen dat er een softfail is en dat het IP adres niet toegestaan is om te verzenden. Vreemd, want ook de PTR klopt, IP verwijst naar domein en domein verwijst naar IP.

Je moet hier opletten. Ondanks het feit dat je mailserver het adres 192.168.1.2 als adres voor mail.mijndomein.nl heeft, gaat deze vermoedelijk uitsturen over zijn eerste interface, en kan het dus zijn dat de verbinding voor google van 192.168.1.1 komt, wat wil zeggen dat je deze ook in je SPF moet zetten (of je mailconfig aanpassen!).

Verder zou het geen kwaad kunnen om je webserver niet direct te laten mailen, maar via de eerste server te laten mailen (relayserver).

Ik heb bovenstaand nu in mijn DNS gezet (je hebt gelijk, ik had verkeerd gelezen in een wizard en daardoor een MX verwijzing ipv een A), maar helaas... Hoewel SPF checkers zeggen dat de entry prima is, blijft Google me vertellen dat er een softfail is en dat het IP adres niet toegestaan is om te verzenden. Vreemd, want ook de PTR klopt, IP verwijst naar domein en domein verwijst naar IP.
Is dit nog steeds het geval? Ik weet uit ervaring dat Google wel eens een marge lijkt te pakken op de TTL van de SPF records.

Is dit nog steeds het geval? Ik weet uit ervaring dat Google wel eens een marge lijkt te pakken op de TTL van de SPF records.

En wederom gelijk: Nu werkt het, thanks! :)

Op zich niet zo netjes dat Google zich niet houdt aan opgegeven TTL's...

Mooi! Graag gedaan :)