Emailin forward-palvelut ei ole enää tätä päivää

Varmaan tälläkin foorumilla on iki-osoitteen omistajia. Onhan se ollut kätevä ja edullinen keino pitää ikuinen ja aina toimiva sähköpostiosoite kotikäyttöön.

Itsekin hankin sellaisen ysärillä, ja olen suositellut sitä muillekin. Mutta nyt se rikkoo asioita.

Minulla on itselläkin tällainen vastaava palvelu erästä asiakasta varten. Asiakkaan email hoidetaan ensisijaisesti Google Apps for Work eli GMailin avulla. Asiakkaalla on kuitenkin myös muita domaineja, ja niiden hallintaa ei ole (toistaiseksi) konffattu Googleen alias-domaineina. Aikoinaan kun asiaa pohdimme niin emme olleet tietoisia tällaisesta mahdollisuudesta, tai sitä ei silloin ollut. Niinpä minä hostaan näitä domaineja ja forwardoin sähköpostit Googlen osoitteisiin.

Sähköpostin turvallisuuden parantamiseksi on kehitetty tekniikoita, kuten SPF, DKIM ja DMARC. Näiden avulla DNS:ään merkitään domainin postien sallitut IP-osoitteet, ja näitä tukeva vastaanottaja voi konfigin mukaisesti hyväksyä tai hylätä saapuvat postit. Itsellä on omissa domaineissani kaikki nämä käytössä, asiakkaan domaineissa ei.

Tilanne nyt

Jos lähettävä taho allekirjoittaa DKIM-kehyksen, tai merkkaa SPF:n avulla sallitut IP:t, kaikki forward-palvelun kautta postitetut viestit menee hylsyyn. Asiakkaani ei nyt saa esim. Twitteristä postia minun palveluni kautta.

Veljeni käyttää iki-osoitetta suosituksestani, ja hän näyttää tällä hetkellä forwardoivat postinsa gmailiin. Koska minulla on tiukka konfiguraatio omissa domaineissani, niin GMail hylkää iki-palvelimen lähetykset, koskapa se yrittää toimia minuna.

Jouduin keventämään SPF-määrityksiäni niin ettei noita hylätä, vaan niihin suhtaudutaan "varauksella", mutta asiakkaani ongelmaan en ole keksinyt ratkaisua. Näiden käännöspalveluiden pitäisikin tehdä jotain enemmän. Envelope-sender pitäisi ilmeisesti vaihtaa, jotta asia toimisi.

Ratkaisu

Juttelin tästä joku aika sitten ircin #postfix -ryhmässä, ja sieltä tuli yksiselitteinen "you do not forward mail to other people's servers". Period.

Näin se on, nykyään. Sillä ratkeaa kaikki ongelmat. Googlen tapauksessa tehdään kunnollinen domain-alias -määritys.. Tein juuri tässä kuussa toiselle asiakkaalle migraation kotimaisesta webmail-palvelusta Google Apps for Work -palveluun, ja siihen tein nämä oikein. Toimii hyvin.