Форум системных администраторов

IT => Windows => MS Exchange => Тема начата: erema от 25 мая 2020, 23:32:59

Название: SPF fail - not authorized 550-5.7.1
Отправлено: erema от 25 мая 2020, 23:32:59

Доброй ночи.
Умер 1 сервак из DAG.
Восстановил через E:\Setup.exe /IAcceptExchangeServerLicenseTerms /Mode:RecoverServer.
Выпустил сертификат на CA, так же импортировал купленный сертификат.
Назначил все по аналогии с живым (exchange 2016).
Есть Relay Sendmail на Debian 8.
При добавлении в коннектор отправки восстановленного exchange выдает след. ошибку.

mmx.123.ru это sendmail relay

Не удалось выполнить доставку следующим получателям или группам:
test@gmail.com (test@gmail.com)
Сообщение не было доставлено из-за проблемы с разрешениями или безопасностью. Сообщение мог отклонить модератор, адресат может принимать сообщения электронной почты лишь от некоторых получателей либо же доставке препятствует другое ограничение.
Организация mmx.123.ru отклонила сообщение.





Диагностические сведения для администраторов:
Формирующий сервер: Exch2016.123.ru
test@gmail.com
mmx.123.ru
Remote Server returned '550-5.7.1 <tmpUser@contoso.ru>... SPF fail - not authorized 550-5.7.1 The hostname given in your MTA's HELO response is not listed 550-5.7.1 as a legitimate MTA in the SPF records for your domain. If you 550-5.7.1 get this bounce, the message was not in fact a forgery, and you 550 5.7.1 should IMMEDIATELY notify your email administrator of the problem.'
Исходные заголовки сообщения:
Content-Language: ru-RU
Content-Type: multipart/alternative;
   boundary="_000_b447689ae3f342e2a79e158985dd4937contosoru_"
DKIM-Signature: v=1; a=rsa-sha256; d=contoso.ru; s=mail; c=simple/simple;
   t=1590424114; h=from:subject:to:date:message-id;
   bh=ai6A2LnYZCKu0bzG0Sj5mRDaV1K6pKlZpNla7qUjcJc=;
   b=Eu9lGmxU7aauZjX29SQ80NY4f8lxIA85JG+tyCgTCG2+IIQYGUM2kndB4gxiPTrtXKWWnClYUBi
   CjcDMB8i/RNIxBwlZk2Z1/SSX4Tm/hZTMe9gC0K/FQlRNd7ejggWO+TV4+pzOFEp/eqhaWk7rLneW
   WNxkkfPUwIJwS6yeqw4tBdxHsxt4mn9Ow3wfxTQQJbFMiJOxFcm2KduMN3NO/EfBEIiulB43oXm50
   6Zu+tpq18n+DJ2ZUPm1+5ifJZWH/8NYOwwbCmBg8E0GD2rbYR+tRIuCw231lBLqpLNq+UkHVqDPX8
   +visRJ10qXIUpgfLR7vkCkm2Yen3Y9C/W4EA==
Received: from Exch2016.123.ru (10.100.7.13) by Exch2016.123.ru
 (10.100.7.13) with Microsoft SMTP Server (version=TLS1_2,
 cipher=TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256) id 15.1.1531.3; Mon, 25
 May 2020 19:28:34 +0300
Received: from Exch2016.123.ru ([fe80::e582:ed6c:381:49ec]) by
 EXCH2016.123.ru ([fe80::e582:ed6c:381:49ec%12]) with mapi id
 15.01.1531.010; Mon, 25 May 2020 19:28:34 +0300
From: TmpUser TMP <tmpUser@contoso.ru>
To: "test@gmail.com" <test@gmail.com>
Subject: d
Thread-Topic: d
Thread-Index: AdYysYeWXhqGuYinSG+Zh2X68sTG8w==
Date: Mon, 25 May 2020 16:28:33 +0000
Message-ID: <b447689ae3f342e2a79e158985dd4937@contoso.ru>
Accept-Language: ru-RU, en-US
X-MS-Has-Attach:
X-MS-TNEF-Correlator:
x-originating-ip: [100.100.77.11]
x-kse-serverinfo: EXCH2016.123.ru, 9
x-kse-attachmentfiltering-interceptor-info: protection disabled
x-kse-antivirus-interceptor-info: scan successful
x-kse-antivirus-info: Clean, bases: 5/25/2020 2:00:00 PM
x-kse-bulkmessagesfiltering-scan-result: protection disabled
MIME-Version: 1.0

 

Название: SPF fail - not authorized 550-5.7.1
Отправлено: Retif от 26 мая 2020, 09:02:20

Цитата: erema от 25 мая 2020, 23:32:59

Remote Server returned '550-5.7.1 <tmpUser@contoso.ru>... SPF fail - not authorized 550-5.7.1 The hostname given in your MTA's HELO response is not listed 550-5.7.1 as a legitimate MTA in the SPF records for your domain. If you 550-5.7.1 get this bounce, the message was not in fact a forgery, and you 550 5.7.1 should IMMEDIATELY notify your email administrator of the problem.'

В коннекторе отправки пропишите FQDN, такой же, который у вас в SPF-записи.

Название: SPF fail - not authorized 550-5.7.1
Отправлено: erema от 26 мая 2020, 09:54:56

"v=spf1 ip4:141.8.194.183 ip6:2a0a:2b42:8b:3d6:: include:spf.protection.outlook.com include:devinosender.com a mx -all"


Вот SPF, в коннекторе не дает прописывать IP

Название: SPF fail - not authorized 550-5.7.1
Отправлено: erema от 26 мая 2020, 10:04:34

Так же добавлены 2 МХ записи двух релеев sendmail

Название: SPF fail - not authorized 550-5.7.1
Отправлено: Retif от 26 мая 2020, 10:23:12

Да нет, конечно в коннекторе IP не надо прописывать.

---

Updated: 26 May 2020, 10:31:53

---

Нет, ну я правильно понимаю, что письмо дальше сендмейла не ушло, и сендмейл его отклонил и прислал NDR-ку?

Значит сендмейлу не нравится что-то в Exchange. Может выдает просто сообщение про SPF, а на самом деле это не оно, в SPF-то внешние IP-адреса пишутся, т.е. сендмейла этого как раз.

Надо в настройках сендмейла посмотреть, какие у него там настройки, фильтры на прием почты от кого, я тут не подскажу.

Название: SPF fail - not authorized 550-5.7.1
Отправлено: erema от 04 июня 2020, 17:08:03

Всем спасибо.
Проблема была в relay sendmail. А точнее в Spf-milter (spf-milter-python 0.8.18-2 / etc / spf-milter-python / spfmilter.cfg).
Добавил туда Ip exchange
.............................
# Internal networks that should not have SPF checked.
internal_connect = xxx.xxx.xxx.xxx,yyy.yyy.yyy.yyy
..............................