iT邦幫忙

1

不清楚為何退信理由是SPF fail

  • 分享至 

  • xImage

有一個郵件問題想請教各位先進,
最近偶而會發生寄給客戶的信件被退回,
檢視退回的理由是SPF fail (如以下文字訊息,domain名稱用xxxxxx遮蔽),
可是我已經在DNS上設定SPF與DMARC,
且通過Gmail與MxToolbox的dmarc檢查都pass (如以下圖示),
查了很多資訊還是不清楚錯誤出在哪裡。

以下例如寄給Oracle信件被退信的訊息內容(內容蠻多僅節錄錯誤訊息部分),
似乎退信的理由是沒有把IP:147.154.18.20設定在SPF紀錄裡,
問題是這個IP是Oracle自己的IP,
我的SPF紀錄的是我公司Mail Server的IP與網段。

X-MS-Exchange-Authentication-Results: spf=fail (sender IP is 147.154.18.20)
smtp.mailfrom=xxxxxx.com.tw; dkim=none (message not signed)
header.d=none;dmarc=fail action=oreject header.from=xxxxxx.com.tw;
Received-SPF: Fail (protection.outlook.com: domain of xxxxxx.com.tw does not
designate 147.154.18.20 as permitted sender) receiver=protection.outlook.com;
client-ip=147.154.18.20;

https://ithelp.ithome.com.tw/upload/images/20240408/20006603ty3oGoo69U.png
圖一 寄信到Gmail信箱,檢視原始檔的SPF是PASS

https://ithelp.ithome.com.tw/upload/images/20240408/20006603aFj9zVAb5P.png
圖二 用MxToolbox的DMARC檢查網頁檢查結果也是PASS

補:(4/9)
中午還在找問題卻找到一篇以前有人發問的問題,
似乎跟使用pphosted.com的系統有關,
不知道有沒有哪位先進也有遇到類似狀況?
https://ithelp.ithome.com.tw/questions/10192369?sc=rss.qu

再補:(4/10)
目前判斷應該是正如Ray老大所判斷的狀況,
已按照Ray老大的建議,
並使用supermaxfight大大提供的網址向Oracle提出問題反映。
另一方面同仁也直接向Oracle的聯繫窗口提出反映,
希望能儘速排除問題。
再度感謝各位先進提供的意見、資訊與建議,
都能讓我更快釐清問題所在,
向各位致上最大的謝意!

再補:(4/11)
沒想到很快就收到Oracle postmaster的回覆,
大概是時差的關係4/10晚上就收到(剛上班?),
但是內容大致是說他們的系統是正確的,
我的Mail Server的IP與SPF紀錄不符,
所以我就把原始退信的mail header完整地轉寄給他(之前反映的網頁有字數限制無法全部貼上),
並說明誤判的地方在哪裡,
希望對方能理解並找出問題的所在,
繼續等他的回覆。
以下截圖只截一小段,
後面有他的解說,
不過基本上是系統給他錯誤的資訊造成他錯誤的解讀。
https://ithelp.ithome.com.tw/upload/images/20240411/20006603i6ick23mI9.png

再補:(4/12)
Oracle的postmaster昨天下午5點多回信了,
內容如以下圖示,
除了解釋Oracle收信的處理過程以外,
在最後大致上也說明問題出在哪裡,
所以後續希望能恢復正常的收發信。
這次的反映感覺Oracle postmaster的反應的處理效率蠻好,
有些大公司反映問題很多都石沉大海。
https://ithelp.ithome.com.tw/upload/images/20240412/20006603byA4PEA62O.png
(雖然對方信件尾端沒有註明需要資訊保密,我也有把相關資訊遮蔽,但是這樣po出回信內容不知道是否合適?如有大神是否提示一下)

supermaxfight iT邦研究生 4 級 ‧ 2024-04-09 09:29:41 檢舉
之前站上有人分享過有一個網站可以將錯誤的spf語法改成正確的語法,忘了是哪個網站。
另外,你的DKIM怎麼不見了
可以多試幾家,例如寄去yahoo
gmail本身算是很寬容,之前MX設定錯誤他也不會擋
jasonlin268 iT邦研究生 2 級 ‧ 2024-04-09 10:11:36 檢舉
您好,非常謝謝您提供的意見,
目前我覺得SPF的部分應該是沒有設錯,也有用幾個檢查DMARC的工具檢查過是沒問題的。
DKIM目前還沒有設定。
剛剛測試寄到yahoo信箱可以正常收到。
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中
0
Ray
iT邦大神 1 級 ‧ 2024-04-09 10:13:48
最佳解答

把上面那個 Header 輸入到此, 按下: Analyze Header, 你會看到信件傳遞的過程:
https://mha.azurewebsites.net/

看起來是你們的 Mail Server 把信送去 pphosted.com 的...(第 2 個 Hop)
可能當初有人設定轉信站? 或者被入侵後設定轉信站 (為了竊聽你們的郵件)

看更多先前的回應...收起先前的回應...
jasonlin268 iT邦研究生 2 級 ‧ 2024-04-09 10:23:59 檢舉

您好,非常感謝您提供的資訊,
我剛剛測試了一下的確是送去pphosted.com,
只是我查了一下oracle.com的MX紀錄(如以下圖示),
似乎就是使用pphosted.com的server,
所以傳送到pphosted似乎也沒錯。

https://ithelp.ithome.com.tw/upload/images/20240409/20006603Pdc66xnonv.png

jasonlin268 iT邦研究生 2 級 ‧ 2024-04-09 13:16:02 檢舉

中午還在找問題卻找到一篇以前有人發問的問題,
似乎跟使用pphosted.com的系統有關?
https://ithelp.ithome.com.tw/questions/10192369?sc=rss.qu

Ray iT邦大神 1 級 ‧ 2024-04-09 15:03:16 檢舉

因為它們用 pphosted.com 當作 Mail Gateway, 外部郵件都先進他之後再轉進 Oracle, 但是 Oracle 自己的 Mail server 沒有定義 Gateway IP, 導致她誤以為從 pphosted.com 寄來的信, 就是原始發信的來源, 變成誤判.

這個問題是 Oracle 他們自己設定的失誤, 你可以嘗試用其他的 Mail 系統 (如: Gmail, Yahoo..等), 先寄信進去看看是否也會被擋? 如果不會的話, 就發封信給它們的 postmaster@oracle.com, 請它們解決這個問題. 當然, 它們要不要解? 甚至它們聽不聽得懂問題點在哪裡? 這就要看它們的智慧了, 我們都沒有辦法.

supermaxfight iT邦研究生 4 級 ‧ 2024-04-09 15:35:32 檢舉

https://www.oracle.com/corporate/contact/postmaster.html
這裡有回報問題的網頁介面

jasonlin268 iT邦研究生 2 級 ‧ 2024-04-09 16:25:37 檢舉

非常感謝Ray老大提供的判斷與建議,
打算使用supermaxfight提供的網頁資訊來反映看看。

剛剛同事反映一個狀況給我,
他如果一次寄給Oracle許多人的信箱會被退信,
之前的退信都是一次寄給多人,
但是如果一次只寄給一個人就正常,
真是難以判斷理解的事又多一樁了...@@

0
CyberSerge
iT邦好手 1 級 ‧ 2024-04-09 02:31:08

Did you check your SPF with MxToolbox?

And why email are sent from 147.154.18.20?

jasonlin268 iT邦研究生 2 級 ‧ 2024-04-09 09:59:42 檢舉

我有用MxToolbox的DMARC Check Tool檢查DMARC Records,其中就包含SPF紀錄,檢查結果是沒有錯誤(如內文圖二),另外我再找到顯示SPF結果的畫面如以下圖示。
https://ithelp.ithome.com.tw/upload/images/20240409/20006603YL8zQAjBnj.png

我發信是用自己的Mail Server發信,結果不知道為何最後Oracle會判斷是由147.154.18.20發出,這點我就是覺得最奇怪的地方。
我把退信的header貼在下面提供參考(如有不該出現的資訊敬請告知修改,為保護隱私,有可識別的資訊會做遮蔽)。
真正發信的IP:
Received: from XXXXXX.com.tw (static-ip-x7-xxx-xxx-6x.rev.hhhhhh.com [6x.xxx.xxx.x7])

===========================================
X-Talos-CUID: 9a23:P5mfTWCZrWAhDij6EzQ/21EUJ9AISEXQ932TLk37Kj43eZTAHA==
X-Talos-MUID: =?us-ascii?q?9a23=3AFJg8vw9CnC0e2Ivy9MzWG+CQf+xxxxxxxxxx?=
=?us-ascii?q?tv9WAKi1dZBuG1g3i*********?=
X-IronPort-Anti-Spam-Filtered: true
X-IronPort-AV: E=McAfee;i="6600,9927,11037"; a="126487199"
Received: from mx0b-00069f02.pphosted.com ([205.220.177.32])
by filterpi03.int.rightnowtech.com with ESMTP/TLS/ECDHE-RSA-AES256-GCM-SHA384; 08 Apr 2024 08:17:17 +0000
Received: from pps.filterd (m0246630.ppops.net [127.0.0.1])
by mx0b-00069f02.pphosted.com (8.17.1.19/8.17.1.19) with ESMTP id 4386Xvsv016033
for zzzzz@mailpi.custhelp.com; Mon, 8 Apr 2024 08:17:16 GMT
Received: from iadpaimrmta03.imrmtpd1.prodappiadaev1.oraclevcn.com (iadpaimrmta03.appoci.oracle.com [130.35.103.27])
by mx0b-00069f02.pphosted.com (PPS) with ESMTPS id 3xavtf244t-1
(version=TLSv1.2 cipher=ECDHE-RSA-AES256-GCM-SHA384 bits=256 verify=OK)
for zzzzzz@mailpi.custhelp.com; Mon, 08 Apr 2024 08:17:16 +0000
Received: from pps.filterd (iadpaimrmta03.imrmtpd1.prodappiadaev1.oraclevcn.com [127.0.0.1])
by iadpaimrmta03.imrmtpd1.prodappiadaev1.oraclevcn.com (8.17.1.19/8.17.1.19) with ESMTP id 43887dH9002978
for zzzzzz@mailpi.custhelp.com; Mon, 8 Apr 2024 08:17:15 GMT
Resent-Date: Mon, 8 Apr 2024 08:17:15 GMT
Resent-Message-Id: 202404080817.43887dH9002978@iadpaimrmta03.imrmtpd1.prodappiadaev1.oraclevcn.com
Received: from nam12-mw2-obe.outbound.protection.outlook.com (mail-mw2nam12lp2041.outbound.protection.outlook.com [104.47.66.41])
by iadpaimrmta03.imrmtpd1.prodappiadaev1.oraclevcn.com (PPS) with ESMTPS id 3xavubd094-1
(version=TLSv1.2 cipher=ECDHE-RSA-AES256-GCM-SHA384 bits=256 verify=OK)
for zzzzzz@mailpi.custhelp.com; Mon, 08 Apr 2024 08:17:14 +0000
ARC-Seal: i=1; a=rsa-sha256; s=arcselector9901; d=microsoft.com; cv=none;
b=bU3PlSr50s+gJn4D/R8iSJgiOB1OJlusCf1dF6pWGTJ9eBl61qBB/tnBYX8CnJbW4vUh34JXMDjZ7od0imv+8YSpSD2tgCZumgdNkaWZoENxiyN5UVJaTpYchG576OsxxxxxxxxxxxxxxxxBuKogvK/uD7E4cVYS8Sm42kAq6rIWCr/MGAI3tiLK5xyNAXmfd2od9XI/5YN/RMU3rd2cUljbZVEIjEU2x+NFVzpAKwLvOQiP3x25DVZU+hdAMifY/tSzlGuO0WQGIcGzhR1AdlyBUYYm7I+o9jAfTnuZqrIFq1JSs5/pdtmTo2KMaTTxxxxxxxxxxxxxxxxx==
ARC-Message-Signature: i=1; a=rsa-sha256; c=relaxed/relaxed; d=microsoft.com;
s=arcselector9901;
h=From:Date:Subject:Message-ID:Content-Type:MIME-Version:X-MS-Exchange-AntiSpam-MessageData-ChunkCount:X-MS-Exchange-AntiSpam-MessageData-0:X-MS-Exchange-AntiSpam-MessageData-1;
bh=6wHGla99T8bFwDSA+KxgiqXMKdlTE5vGw/53hshHSJw=;
b=nbhko0ejF9VAEL+PzFDFrxgk0fcZkwSoxEjmXVbMPfuHCZAtNrkiNnKGH/mEq8Lv4+gtmgZkQOPPWl7aCGOJP8rJDFX3TtqF0h/JmXFbMQEVdscxe5T/wW1f8n/xpLfxxxxxxxxxxxxxxxxxx53gJ5Z/YfQ4bWFaoSwY2wnutLuWnb8Zbw7hB+KxvuSvx1GYH7FX6p/KhoMo95daja6iBB0OzqSZ4qW7HMyguScfgOvl8H6q70cQoslFnYd9QNt0lgZavjk6jJzAd7HbH4UR/hcGGXtGfx67jB9T4IROJER8Ms1/DGmnRZ8gxwohS/xVxxxxxxxxxxxxxxxxx==
ARC-Authentication-Results: i=1; mx.microsoft.com 1; spf=fail (sender ip is
147.154.18.20) smtp.rcpttodomain=oracle.com smtp.mailfrom=XXXXXX.com.tw;
dmarc=fail (p=reject sp=reject pct=100) action=oreject
header.from=XXXXXX.com.tw; dkim=none (message not signed); arc=none (0)
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
d=oracle.onmicrosoft.com; s=selector2-oracle-onmicrosoft-com;
h=From:Date:Subject:Message-ID:Content-Type:MIME-Version:X-MS-Exchange-SenderADCheck;
bh=6wHGla99T8bFwDSA+KxgiqXMKdlTE5vGw/53hshHSJw=;
b=DHGOoLhKigtsoAat943pnplT0RVvxTjYFrj1DmFEgGuzNhoXvOR8xpu1H+4bMrP0wCsPxxxxxxxxxxxxxxxxxxd3ZJTW34Hv3fCKykC9C9HH8sa3fl++WjPuFCHpIRddioeCtZZKFd2pEs0Q316fxxxxxxxxxxxxxxxxx=
Resent-From: zzzzzz@oracle.com
Received: from CYXPR02CA0055.namprd02.prod.outlook.com (2603:10b6:930:cd::11)
by CH3PR10MB7282.namprd10.prod.outlook.com (2603:10b6:610:12c::8) with
Microsoft SMTP Server (version=TLS1_2,
cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) id 15.20.7409.46; Mon, 8 Apr
2024 08:17:10 +0000
Received: from CY4PEPF0000FCC5.namprd03.prod.outlook.com
(2603:10b6:930:cd:cafe::6b) by CYXPR02CA0055.outlook.office365.com
(2603:10b6:930:cd::11) with Microsoft SMTP Server (version=TLS1_2,
cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) id 15.20.7452.35 via Frontend
Transport; Mon, 8 Apr 2024 08:17:09 +0000
X-MS-Exchange-Authentication-Results: spf=fail (sender IP is 147.154.18.20)
smtp.mailfrom=XXXXXX.com.tw; dkim=none (message not signed)
header.d=none;dmarc=fail action=oreject header.from=XXXXXX.com.tw;
Received-SPF: Fail (protection.outlook.com: domain of XXXXXX.com.tw does not
designate 147.154.18.20 as permitted sender) receiver=protection.outlook.com;
client-ip=147.154.18.20;
helo=iadpaimrmta02.imrmtpd1.prodappiadaev1.oraclevcn.com;
Received: from iadpaimrmta02.imrmtpd1.prodappiadaev1.oraclevcn.com
(147.154.18.20) by CY4PEPF0000FCC5.mail.protection.outlook.com
(10.167.242.107) with Microsoft SMTP Server (version=TLS1_2,
cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) id 15.20.7452.22 via Frontend
Transport; Mon, 8 Apr 2024 08:17:09 +0000
Received: from pps.filterd (iadpaimrmta02.imrmtpd1.prodappiadaev1.oraclevcn.com [127.0.0.1])
by iadpaimrmta02.imrmtpd1.prodappiadaev1.oraclevcn.com (8.17.1.19/8.17.1.19) with ESMTP id 438804fJ020011
for zzzzzz@oracle.com; Mon, 8 Apr 2024 08:17:08 GMT
Authentication-Results-Original: Oracle OCI internal-mail-router; spf=fail
smtp.mailfrom=xxxxxx@XXXXXX.com.tw; dmarc=fail header.from=XXXXXX.com.tw
Received: from mx0a-00069f01.pphosted.com (mx0a-00069f01.pphosted.com [205.220.165.26])
by iadpaimrmta02.imrmtpd1.prodappiadaev1.oraclevcn.com (PPS) with ESMTPS id 3xavub5as1-1
(version=TLSv1.2 cipher=ECDHE-RSA-AES256-GCM-SHA384 bits=256 verify=OK)
for zzzzzz@oracle.com; Mon, 08 Apr 2024 08:17:07 +0000
Received: from pps.filterd (m0333696.ppops.net [127.0.0.1])
by mx0b-00069f01.pphosted.com (8.17.1.19/8.17.1.19) with ESMTP id 43856Yhn032342
for zzzzzz@oracle.com; Mon, 8 Apr 2024 08:17:06 GMT
Authentication-Results-Original: ppops.net; spf=pass
smtp.mailfrom=xxxxxx@XXXXXX.com.tw; dmarc=pass header.from=XXXXXX.com.tw
Received: from pps.reinject (localhost [127.0.0.1])
by mx0b-00069f01.pphosted.com (PPS) with ESMTPS id 3xbw8w669t-1
(version=TLSv1.2 cipher=ECDHE-RSA-AES256-GCM-SHA384 bits=256 verify=NO)
for zzzzzz@oracle.com; Mon, 08 Apr 2024 08:17:05 +0000
Received: from m0333696.ppops.net (m0333696.ppops.net [127.0.0.1])
by pps.reinject (8.17.1.5/8.17.1.5) with ESMTP id 4388H4fw017045
for zzzzzz@oracle.com; Mon, 8 Apr 2024 08:17:04 GMT
Received: from XXXXXX.com.tw (static-ip-x7-xxx-xxx-6x.rev.hhhhhh.com [6x.xxx.xxx.x7])
by mx0b-00069f01.pphosted.com (PPS) with ESMTPS id 3xbw8w6693-1
(version=TLSv1.2 cipher=ECDHE-RSA-AES256-GCM-SHA384 bits=256 verify=NO);
Mon, 08 Apr 2024 08:17:03 +0000
Received: from xxxxxx (unknown [10.10.88.158])
(using TLSv1.2 with cipher DHE-RSA-AES256-GCM-SHA384 (256/256 bits))
(No client certificate requested)
(Authenticated sender: xxxxxx@XXXXXX.com.tw)
by XXXXXX.com.tw (Mail Server XiM) with ESMTP;
Mon, 8 Apr 2024 16:17:03 +0800 (UTC)
From: =?UTF-8?**********?= xxxxxx@XXXXXX.com.tw
To: "'Pyyyyyyp'" pyyyyyyp@oracle.com

==========================================

0
japhenchen
iT邦超人 1 級 ‧ 2024-04-09 15:36:59

八成是你的郵箱主機的對外遞送的IP在浮動
跟你的 SPF上記載IPV4的記錄並不相符

如果你的路由器可以設定對外連線的策略或靜態路由,請幫你的信箱主機鎖定在SPF裡的IP吧!

jasonlin268 iT邦研究生 2 級 ‧ 2024-04-09 16:09:50 檢舉

您好,謝謝您提供的意見,
我的Mail Server對外的IP是固定的,設備放在某代管機房,使用他們提供的固定IP網段,在SPF上記錄的也是該網段,在Oracle的退信紀錄上其實可以看到我的Mail Server的對外IP [6x.xxx.xxx.x7]是正確的,而且一開始的spf檢查也是pass(如以下訊息第2行所示),只是中間經過幾個轉信過程之後spf檢查就變成fail,它反而誤判我的Mail Server IP是147.154.18.20 (經查該IP是屬於Oracle所有,如以下圖示),所以真的是無法理解為何會這樣,剛剛看到Ray老大提供的解說覺得很有可能,打算參照supermaxfight大大提供的資訊來反映看看。

=============================
for zzzzzz@oracle.com; Mon, 8 Apr 2024 08:17:06 GMT
Authentication-Results-Original: ppops.net; spf=pass
smtp.mailfrom=xxxxxx@XXXXXX.com.tw; dmarc=pass header.from=XXXXXX.com.tw
Received: from pps.reinject (localhost [127.0.0.1])
by mx0b-00069f01.pphosted.com (PPS) with ESMTPS id 3xbw8w669t-1
(version=TLSv1.2 cipher=ECDHE-RSA-AES256-GCM-SHA384 bits=256 verify=NO)
for zzzzzz@oracle.com; Mon, 08 Apr 2024 08:17:05 +0000
Received: from m0333696.ppops.net (m0333696.ppops.net [127.0.0.1])
by pps.reinject (8.17.1.5/8.17.1.5) with ESMTP id 4388H4fw017045
for zzzzzz@oracle.com; Mon, 8 Apr 2024 08:17:04 GMT
Received: from XXXXXX.com.tw (static-ip-x7-xxx-xxx-6x.rev.hhhhhh.com [6x.xxx.xxx.x7])

==================================

https://ithelp.ithome.com.tw/upload/images/20240409/20006603V4IFv4KPj2.png

既然知道ORACLE會幫你浮動IP,那就試圖跟ORACLE申請固定IP來解決問題吧

jasonlin268 iT邦研究生 2 級 ‧ 2024-04-12 15:10:03 檢舉

您好,
我在本文裡有補上最新Oracle postmaster的回信,目前Oracle postmaster知道問題出在哪裡了,希望後續收發信能恢復正常。

我要發表回答

立即登入回答