<div dir="ltr"><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_extra"><br><div class="gmail_quote">On 5 June 2017 at 18:55, Phil Susi <span dir="ltr"><<a href="mailto:psusi@ubuntu.com" target="_blank">psusi@ubuntu.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">I prefer to use my @<a href="http://ubuntu.com" rel="noreferrer" target="_blank">ubuntu.com</a> alias, which forwards mail to my real<br>
server.  Amavis then tries to check SPF against the forwarder, which<br>
fails.  Is there a way to configure it to trust this forwarding server<br>
and check SPF against the Recieved: header rather than the forwarder?<br></blockquote><div><br></div><div class="gmail_default" style="font-size:small">​I don't know whether it is possible to change Amavis's behaviour but it is doing the right thing in terms of SPF because it is only the latest ip that it can have any confidence in - earlier headers (reporting a previous ip) could be fake.</div><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_default" style="font-size:small">The reality is that SPF is broken if you forward emails, you need to use a different technology to verify identity such as DKIM (e.g. opendkim), or combine the two with DMARC (e.g. opendmarc + opendkim + python-policyd-spf).​ If amavis can't do this (I'm not sure), your MTA should be able to.</div></div><br></div></div>