Con una recente comunicazione ufficiale, Google ha annunciato la dismissione del fetch POP3 da account esterni in Gmail. Chi utilizzava questa funzione per consolidare più caselle email in Gmail si trova ora a dover migrare verso una soluzione alternativa: l’inoltro automatico (email forwarding) direttamente dal server di posta sorgente.

Questa guida documenta il processo completo per configurare correttamente l’inoltro da un dominio custom gestito con Postfix e Webmin verso Gmail, risolvendo i problemi di autenticazione SPF/DKIM che causano il blocco con errore 550 5.7.26.

Il problema: Gmail rifiuta le email inoltrate

Attivando l’inoltro automatico dal proprio server di posta verso Gmail, si riceve quasi immediatamente un bounce con questo errore:

text550-5.7.26 Your email has been blocked because the sender is unauthenticated.
Gmail requires all senders to authenticate with either SPF or DKIM.
DKIM = did not pass
SPF [dominio-originale.com] with ip: [IP-del-tuo-server] = did not pass

La causa è strutturale: quando il server di posta inoltra un messaggio, il mittente nell’envelope (Return-Path) rimane quello originale (es. mittente@dominio-esterno.com), ma l’IP che effettua la consegna è quello del tuo server. Gmail verifica l’SPF del dominio originale contro l’IP del tuo server — e ovviamente fallisce, perché il tuo server non è autorizzato a inviare per conto di domini terzi.

La soluzione: SRS + SPF sul dominio di inoltro

La soluzione completa richiede tre interventi:

  1. SRS (Sender Rewriting Scheme) — riscrive il mittente envelope usando il tuo dominio
  2. Record SPF sul tuo dominio che autorizzi il tuo IP
  3. Record DMARC per migliorare la reputazione del dominio

Step 1: installare e configurare postsrsd

SRS è un meccanismo che riscrive l’indirizzo mittente nell’envelope da mittente@dominio-esterno.com a SRS0=HASH=TT=dominio-esterno.com=mittente@tuo-dominio.com. In questo modo Gmail verifica l’SPF contro il tuo dominio, che puoi controllare.

Installa il demone postsrsd:

bashapt install postsrsd

Durante l’installazione specifica il tuo dominio (es. tuodominio.com). Il file di configurazione si trova in /etc/default/postsrsd. Verifica che i parametri principali siano corretti:

textSRS_DOMAIN=tuodominio.com
SRS_EXCLUDE_DOMAINS=tuodominio.com
SRS_SECRET=/etc/postsrsd.secret

Verifica che postsrsd sia in ascolto sulle porte corrette:

bashss -tlnp | grep postsrsd
# Output atteso:
# LISTEN 0 10 127.0.0.1:10001 ...
# LISTEN 0 10 127.0.0.1:10002 ...

Step 2: configurare Postfix per usare SRS

Aggiungi queste direttive a /etc/postfix/main.cf (in Webmin: Servers → Postfix Mail Server → Edit Config Files):

textsender_canonical_maps = tcp:127.0.0.1:10001
sender_canonical_classes = envelope_sender
recipient_canonical_maps = tcp:127.0.0.1:10002
recipient_canonical_classes = envelope_recipient,header_recipient

Riavvia i servizi:

bashsystemctl restart postsrsd && postfix reload

Step 3: configurare il forwarding in virtual_alias_maps

Il forwarding non deve essere gestito tramite ~/.forward dell’utente locale, perché quel meccanismo bypassa la sender_canonical_map e quindi SRS non viene applicato. La configurazione corretta va in /etc/postfix/virtual.

Per mantenere la consegna locale e inoltrare a Gmail simultaneamente, usa la sintassi multi-destinatario:

textutente@tuodominio.com    utente-locale, destinatario@gmail.com

Aggiorna la mappa e ricarica:

bashpostmap /etc/postfix/virtual
postfix reload

Step 4: aggiungere il record SPF

Se non è già presente, aggiungi un record TXT SPF sul dominio radice (@) nel DNS:

textv=spf1 ip4:IP-DEL-TUO-SERVER mx ~all

Verifica la propagazione con:

bashdig TXT tuodominio.com +short

Step 5: aggiungere il record DMARC

Aggiungi un record TXT per _dmarc.tuodominio.com:

textv=DMARC1; p=none; rua=mailto:admin@tuodominio.com

Il valore p=none abilita la modalità di solo monitoraggio: non blocca nulla, ma comunica a Gmail che il dominio ha una policy DMARC, migliorando la reputazione nel tempo.

Verifica finale

Invia una mail di test verso l’indirizzo che punta al tuo server e controlla i log:

bashjournalctl -u postfix --since "5 minutes ago" | grep -E "gmail|SRS|status"

Nei log di postsrsd dovresti vedere la riscrittura SRS:

textpostsrsd: srs_forward: <mittente@dominio-esterno.com> rewritten as <SRS0=HASH=TT=dominio-esterno.com=mittente@tuodominio.com>

Nei log di Postfix dovresti vedere la consegna andata a buon fine:

textstatus=sent (250 2.0.0 OK ... gsmtp)

Conclusione

La dismissione del POP3 fetch di Gmail costringe a un setup più corretto e moderno, che in realtà è anche più robusto: SRS + SPF + DKIM + DMARC è la configurazione raccomandata per qualsiasi server di posta che faccia forwarding verso provider che applicano strict authentication come Gmail. Una volta configurato, il sistema è completamente trasparente e non richiede manutenzione.