550 5.7.0 Message rejected per DMARC policy
 

Добрый вечер! помогите подтвердить вопрос: на чьей стороне завтык.
суть с почтового домена aal-group.com отправляется почта на домен saif-zone.com (адресат/получатель - не важно кто). С другими серверами - проблем не замечено.
сразу после отправки - прилетает ошибка - ниже.

А также просьба указать варианты разрешения проблемы.

---------------------DIAG file --------------------
Reporting-MTA: dns;DX.a.local
Received-From-MTA: dns;hp20f
Arrival-Date: Wed, 12 Dec 2018 09:24:04 +0000

Final-Recipient: rfc822;atef.shoair@saif-zone.com
Action: failed
Status: 5.7.0
Diagnostic-Code: smtp;550 5.7.0 Message rejected per DMARC policy for aal-group.com
Remote-MTA: dns;mail.saif-zone.com

-------------------- EMAIL -----------------------------------------------
From: Microsoft Outlook <MicrosoftExchange329e71ec88ae4615bbc36ab6ce41109e@aal-group.com>
Sent: 12.12.2018 13:24
To: v.ia@aal-group.com
Subject: Undeliverable: test

mail.saif-zone.com rejected your message to the following e-mail addresses:
atef.shoair@saif-zone.com
mail.saif-zone.com gave this error:
Message rejected per DMARC policy for aal-group.com
Your message wasn't delivered because the recipient's e-mail provider rejected it.




Diagnostic information for administrators:
Generating server: DX.a.local
atef.shoair@saif-zone.com
mail.saif-zone.com #550 5.7.0 Message rejected per DMARC policy for aal-group.com ##
Original message headers:
Received: from hp20f (192.168.1.22) by DX.a.local
(192.168.66.124) with Microsoft SMTP Server (TLS) id 14.3.408.0; Wed, 12 Dec
2018 13:24:04 +0400
Reply-To: <v.i@aal-group.com>
From: Victor <v.ia@aal-group.com>
To: <atef.shoair@saif-zone.com>
Subject: test
Date: Wed, 12 Dec 2018 13:24:05 +0400
Message-ID: <011001d491fc$6de53130$49af9390$@aal-group.com>
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="----=_NextPart_000_0111_01D4921D.F4F79480"
X-Mailer: Microsoft Outlook 16.0
Thread-Index: AdSR/GqoHsMM+slgRYGiS6ovRpWYqw==
Content-Language: en-us
Return-Path: v.i@aal-group.com

Если письмо вылупилось не из одного из перечисленного в spf, то реджект.

Судя по RFC1918 адресу, вылупилось и было принято в локалке.

Либо добавьте в SPF ip4:192.168.66.124, либо разберитесь с работой смартхостов, с какого хрена они в дмарк смотрят.

Ну или пока будете разбираться, замените в дмарк записи aspf=s на aspf=r

Подразумевая, что вы владелец aal-group.com

если не затруднить можно ещё обсудить тему?

1) да, я владелец aal-group.com
2) письмо вышло из локалки и через mail.aal-group.com вышло наружу
3) 192.168.66.124 - это внутренний IP mail.aal-group.com. Из локалки если пинговать mail.aal-group.com - получу 192.168.66.124
4) пункты 2) и 3) вроде как не противоречит политике SPF
5) в SPF можно вписывать локальные IP?
6) смартхосты - это в смысле ПК пользователей?
7) судя по тексту (я не эксперт в этой теме ещё) "mail.saif-zone.com rejected your message " - мой сервер, что-то запросил у сервера mail.saif-zone.com или его DNS и на его основе смастерил отказ.
8) почему тогда только с этим сервером беда? В день больше тысячи сообщений расходится. взял выборку через Powershell за год: ранее ничего подобного. Глюк случился пару дней назад. Я в DNS ничего не менял. Почта ранее на saif-zone.com уходила.
9) "замените в дмарк записи aspf=s на aspf=r" - спасибо сделаю.
10) я не ищу виновных. просто хочу найти решение и причину.

ок.
Судя по отчёту - нет.
Ах вот оно что, у вас сплит-днс видимо.
Туда можно вписывать что угодно.
Забейте, просто обычно внутри больших LAN ставят смартхосты для рутинга почты. Как я понял, у вас ничего такого нет.
Я сделал запрос о политике дмарк в ваш днс, увидел там aspf=s. Потом сделал запрос об SPF, увидел там кучу инклюдов и поленился руками их распарсивать, но практически уверен, что там нет ip4:192.168.66.144.
Учтите, что это только для отладки, ведь это позволит игнорировать неверный SPF.
"У каждой ошибки есть фамилия, имя и отчество" (ц) Сталин. Но я надеюсь, что все сталины давно сдохли, поэтому расценивайте это выражение ка шутку.