BYOD SPF bug

“你看，这就是专业”

排查了下，确实是Google Workspace的问题。
Google Workspace 很早下架了标准的Catch-all，只能用过滤修改转发来实现。
导致了SPF IP的问题，如果 @前面的账户已经分配到所在账户，就不用转发，SPF IP测试就正确是：PASS，IP 地址：185.250.38.50
如果别名没有分配就会出现这个问题。

站长是很专业的。

另外发现论坛通知有个小bug

邮件里面的链接是 ：View the full thread → https://mail.sb/thread/4/spf-bug
正确的链接应该是：https://forum.mail.sb/thread/4/spf-bug
少了forum.

我们做了三轮端到端测试：

1. [email protected] 直发 Gmail —— 到达，spf/dkim/dmarc 全 pass。
2. [email protected] → 一个带转发规则的 Gmail 地址 → 转回外部邮箱 —— 也正常到达。
3. 在 Gmail 里启用 "Send mail as" 加了一个 @mail.sb 别名，配置成 "Send through SMTP servers"（SMTP server: mail.mail.sb，Port: 587 TLS，登录用 @mail.sb 账户的密码）—— 设置成功，从该别名发出的邮件 spf/dkim/dmarc 同样全 pass。

所以 mail.sb → Gmail 这条直链没问题，转发不会丢，Gmail 代发（走我们的 SMTP）也工作正常。

回到你的现象：SPF FAIL，IP 209.85.220.69。这个 IP 反向解析是 mail-sor-f69.google.com —— Google 自己的出站 SMTP 中继。也就是说那封邮件是从 Google 的服务器发出去的，不是从 mail.mail.sb（我们 IP：185.250.38.50）。

通常会出现 mail-sor 这一段的路径有几种：

1. 你的 Gmail 邮箱设置了自动转发，邮件经 Gmail 转发出去再到下一跳
2. 你在用某个第三方"通过 Google 发送"的服务（OAuth 接入 Gmail）
3. 你用 Google Workspace 的 SMTP 中继服务
4. （历史方案）Gmail 早期支持 "Send through Gmail" —— 现在已对个人账号下架

不论哪种情况，根本性原因是 Gmail 服务器不能代表你的域名通过 SPF 认证 —— 你的 SPF 只授权了 a:mail.mail.sb（185.250.38.50），加 include:_spf.google.com 不是有效解（等于让任何 Gmail 用户都能仿冒你的域名发邮件）。

为了更准确定位，请把以下材料发邮件到 [email protected]（私信我们，这样可以包含完整邮件内容而不暴露在公开论坛）：

• 完整的原始邮件头（Gmail：⋮ → "显示原始邮件" → 复制最上面的全部头）
• 你看到 SPF FAIL 错误的截图（如果是退信，把退信原文也附上）
• 你的发件方式：邮件客户端是哪个？SMTP 服务器配置是什么？
• 是从哪个邮箱发到哪个邮箱？

附：我们刚验证过的三种路径全部通过，mail.sb 这边的邮件认证（SPF / DKIM / DMARC）配置没有问题。问题应该出在你的发件路径，详情看完原始邮件头我们能给明确答复。

@user-77b2268e 写道：

另外发现论坛通知有个小bug

邮件里面的链接是 ：View the full thread → https://mail.sb/thread/4/spf-bug
正确的链接应该是：https://forum.mail.sb/thread/4/spf-bug
少了forum.

是的，感谢提醒。已发出的有bug，已修复了。