DMARC report: SPF neprošlo, DKIM ano

[beer]

Rozumím tomu správně, že SPF neprošlo a dkim ano? Jak je to možné? Je to gmail na Google Apps.
dmarc záznam

Kód: [Vybrat]

_dmarc.meitner.cz 300 v=DMARC1; p=quarantine; aspf=r; pct=50; rua=mailto:muj@mail.cz;
spf záznam:

Kód: [Vybrat]

meitner.cz 300 v=spf1 include:_spf.google.com ~all
report:

Kód: [Vybrat]

<?xml version="1.0" encoding="UTF-8"?>

-<feedback>


-<report_metadata>

<org_name>google.com</org_name>

<email>noreply-dmarc-support@google.com</email>

<extra_contact_info>http://support.google.com/a/bin/answer.py?answer=2466580</extra_contact_info>

<report_id>11060080213039916504</report_id>


-<date_range>

<begin>1431907200</begin>

<end>1431993599</end>

</date_range>

</report_metadata>


-<policy_published>

<domain>meitner.cz</domain>

<adkim>r</adkim>

<aspf>r</aspf>

<p>none</p>

<sp>none</sp>

<pct>100</pct>

</policy_published>


-<record>


-<row>

<source_ip>2607:f8b0:4002:c01::233</source_ip>

<count>1</count>


-<policy_evaluated>

<disposition>none</disposition>

<dkim>pass</dkim>

<spf>fail</spf>

</policy_evaluated>

</row>


-<identifiers>

<header_from>meitner.cz</header_from>

</identifiers>


-<auth_results>


-<dkim>

<domain>meitner.cz</domain>

<result>pass</result>

</dkim>


-<spf>

<domain>meitner.cz</domain>

<result>none</result>

</spf>

</auth_results>

</record>

</feedback>

Mám něco nastaveno špatně? Používám webový gmail, ale na doméně mám i jiné uživatele, kteří používají třeba outlook. Zaráží mne, že dkim prošlo a spf ne. Kdyby to bylo obráceně, tak by mne to tolik nepřekvapovalo. Dá se zjistit, který konkrétní e-mail neprošel? A byl to odchozí e-mail z mé domény, nebo příchozí ke mne? Nějak se v tom moc neorientuji. Dle ipv6 adresy hádám, že to byl e-mail, který byl posílaný buď z gmailu, nebo z google apps účtu.

[Reklama]

[M.]

Protože to máš v té doméně meitner.cz vloženo jako DNS záznam typu SPF. Před nějakým časem padlo rozhodnutí v RFC7208, že pro SPFv1 záznamy se bude používat jen TXT a položka SPF se použije v další verzi protokolu (a možná také ne).
Přepiš to z SPF na TXT druh záznamu se stejným obsahem a bude to OK.

[j]

viz M., nejlepsi je to tam mit oboji, jak txt tak spf

Jinak dkim a spf nijak nesouvisi, takze stav, ze jedno projde a druhy ne je normalni.

a vubec nejspravnejsi (a to ma malo kdo) je mit jeden zaznam pro domenu (kde deklarujes, ze kterych stroju ta domena muze odesilat maily) a dalsi zaznamy by mel mit kazdy jeden z tech stroju. Protoze pri prijmu dochazi ke kontrole from (cosi@domena.cz), kde se pouzije ten zaznam pro domenu a pak ke kontrole helo (trebas mail.domena.cz), kde se overuje prave spf/txt zaznam pro ten  konkretni stroj.

tzn takova "klasika" by mela vypadat nejak takhle:

      IN MX 10 mail.domena.cz.

      IN SPF "v=spf1 mx -all"
      IN TXT "v=spf1 mx -all"

mail IN TXT "v=spf1 a -all"
      IN SPF "v=spf1 a -all"

=> tvrdim, ze odesilat muzou jen stroje v MX, takovej je v tomhle pripade jeden, a u nej tvrdim, ze odesilat muze ze vsech IPcek ktery ma (nekde kolem v tom DNS).

[beer]

OK, díky, ponechám SPF záznam a přidám TXT, uvidíme, jestli to pošlape.