上周微软错误配置相关DNS，致全球Hotmail邮箱用户的发件无法被正常接收

埃律西昂

来源： BleepingComputer
原英文标题： <Hotmail email delivery fails after Microsoft misconfigures DNS>
原文发布于8月18日。

---

由于微软错误配置了域名的 DNS SPF 记录，全球 Hotmail 用户在发送电子邮件时遇到问题，邮件被标记为垃圾邮件或无法发送。

电子邮件问题始于昨晚深夜，用户和管理员在 Reddit、Twitter 和微软论坛上报告说，由于 SPF 验证错误，他们的 Hotmail 电子邮件发送失败。

一位 Hotmail 用户在微软论坛上发帖解释说，他们的 Microsoft Outlook Hotmail 账户在发送失败时出现了以下错误：

电子邮件管理员
此错误与发件人策略框架 (SPF) 有关。目标电子邮件系统对邮件的 SPF 记录进行评估后出现错误。请与您的域名注册商合作，确保您的 SPF 记录配置正确。

exhprdmxe26 出现此错误：
由于 SPF 政策，邮件被拒绝 - 请检查 hotmail.com 的政策

发件人策略框架（SPF）是一种电子邮件安全功能，可减少垃圾邮件，防止威胁者在网络钓鱼攻击中欺骗域名。

要配置 SPF，管理员要为域创建一个特殊的 DNS TXT（文本）记录，指定允许在该域下发送电子邮件的特定主机名和 IP 地址。

邮件服务器收到电子邮件时，会验证发送电子邮件服务器的主机名/IP 地址是否属于域 SPF 记录的一部分，如果是，则允许照常发送电子邮件。

但是，如果发送邮件服务器的 IP 地址或域未列在发件人域的 SPF 记录中，邮件服务器就会以错误的方式将邮件退回给发件人，或者将邮件放到收件人的 SPAM （垃圾）文件夹中。

在分析了导致电子邮件发送错误的原因后，管理员注意到微软删除了 hotmail.com SPF 记录中的 "include:spf.protection.outlook.com "记录。

为了说明这个问题，hotmail.com 以前的 SPF 记录是：

1. v=spf1 ip4:157.55.9.128/25 include:spf.protection.outlook.com include:spf-a.outlook.com include:spf-b.outlook.com include:spf-a.hotmail.com include:_spf-ssg-b.microsoft.com include:_spf-ssg-c.microsoft.com ~all

复制代码

Hotmail 当前的 SPF 记录已删除 spf.protection.outlook.com：

1. v=spf1 ip4:157.55.9.128/25 include:spf-a.outlook.com include:spf-b.outlook.com include:spf-a.hotmail.com include:_spf-ssg-b.microsoft.com include:_spf-ssg-c.microsoft.com -all

复制代码

spf.protection.outlook.com SPF 记录包含大量允许向 hotmail.com 域名发送电子邮件的主机列表，如果缺少该记录，来自这些发件人的任何电子邮件都将无法通过 SPF 检查。

BleepingComputer 测试了从 Outlook.com Hotmail 账户发送电子邮件的情况，并复制了这个问题，由于 SPF 记录失效，我们的电子邮件被转到了 Gmail 的 SPAM （垃圾）文件夹。

1. Authentication-Results: mx.google.com;
   
2.        dkim=pass header.i=@hotmail.com header.s=selector1 header.b=Aoix6uEm;
   
3.        arc=pass (i=1);
   
4.        spf=fail (google.com: domain of ###@hotmail.com does not designate 2a01:111:f400:fe5b::808 as permitted sender) smtp.mailfrom=###@hotmail.com;
   
5.        dmarc=pass (p=NONE sp=NONE dis=NONE) header.from=hotmail.com

复制代码

这是因为与 Outlook.com 相关联的允许 IPv6 地址（2a01:111:f400）被指定在 spf.protection.outlook.com 记录中，用于发送我的电子邮件，删除该地址后，该记录不再被视为有效。

由于删除了 spf.protection.outlook.com，现在无法通过 SPF 检查的其他主机包括：

1. 40.92.0.0/15
   
2. 40.107.0.0/16
   
3. 52.100.0.0/14
   
4. 104.47.0.0/17
   
5. 2a01:111:f400::/48
   
6. 2a01:111:f403::/49
   
7. 2a01:111:f403:8000::/50
   
8. 2a01:111:f403:c000::/51
   
9. 2a01:111:f403:f000::/52

复制代码

遗憾的是，Hotmail 用户自己无法解决这个问题，只能等待微软修复 DNS 条目。

---

更新 8/18/23：微软告诉 BleepingComputer，他们已经修复了这个问题，Hotmail 应该不会再出现 SPF 检查失败的情况。

在检查 Hotmail.com 的一些 SPF 包括语句时，BleepingComputer 发现他们在其他包括语句中添加了一些丢失的 IP 范围，现在它们都能正确通过 SPF。

zongt4

最近微软OneDrive、Microsoft Store、游戏登陆等都有问题。

a408498672

难怪今天早上发邮件显示错误，不过邮件还是发出去了，奇怪

jianghaitao

问就是阿三干的