On Thu, Aug 20, 2015 at 08:24:39PM +0300, Bogdan wrote: > Возникла странная необходимость принимать только почту, которая прошла > через сервера гугла (в т.ч. пересылка почты от другого домена через список > раасылки) > Предположу, что надо проверять для каждого письма SPF-записи, но не для > домена вот from, а ориентируясь строго на гугл.
Проще всего MTA сказать принимать письма только с IP-адресов домена google.com. Это достаточно надёжно. MTA выполняет ресолвинг IP-адреса сервер отправителя в доменное имя, а потом снова ресолвит уже имя назад в адрес. И только при совпадении считает доменное имя верным. Такая схема не позволит жулику пролезть прописав для своего IP-адреса имя в домене google.com. https://en.wikipedia.org/wiki/Forward-confirmed_reverse_DNS SPF тут врятли поможет: подпись будет от оригинального письма и при пересылке будет испорчена.
