<div dir="ltr">Has anyone experienced issues with DMARC validation of email coming from sites which should pass SPF and therefore pass DMARC but don't?<div><br></div><div>In our real-life example, we are receiving email from Service Now IP addresses with a sender (envelope FROM) domain of <a href="mailto:USER@purestorage.com">USER@purestorage.com</a> and a header FROM domain of <a href="mailto:USER@purestorage.com">USER@purestorage.com</a>.  Because <a href="http://purestorage.com">purestorage.com</a> has a DMARC reject policy, either SPF or DKIM must pass before we will accept the email.  There is no DKIM record, and the SPF record is rather complex:</div><div><br></div><div><font face="monospace"><a href="http://purestorage.com">purestorage.com</a>.   300     IN      TXT     "v=spf1 include:purestorage.com._nspf.vali.email include:%{i}._ip.%{h}._ehlo.%{d}._spf.vali.email ~all"</font><br></div><div><br></div><div>After substituting IP address, helo name, and domain name in the above, the returned SPF record resolves to this value:</div><div><br></div><div><font face="monospace">"v=spf1 include:<a href="http://service-now.com">service-now.com</a> -all"<br></font></div><div><br></div><div>As such, DMARC should pass, but does not.  Is opendmarc known to have issues with SPF record macro expansion?  Has anyone had any experience with this sort of setup?</div><div><br></div></div>