Что такое записи SPF и как их настроить?

49

Это канонический вопрос о настройке записей SPF .

У меня есть офис со многими компьютерами, которые используют один и тот же внешний IP-адрес (я не уверен, является ли адрес статическим или динамическим). Каждый компьютер подключается к нашему почтовому серверу через IMAP с помощью Outlook. Электронная почта отправляется и принимается этими компьютерами, а некоторые пользователи также отправляют и получают электронную почту на своих мобильных телефонах.

Я использую http://wizard.easyspf.com/ для создания записи SPF, и я не уверен в некоторых полях мастера, в частности:

  1. Введите любые другие домены, которые могут отправлять или ретранслировать почту для этого домена.
  2. Введите любые IP-адреса в формате CIDR для сетевых блоков, которые отправляют, или ретранслируйте почту для этого домена.
  3. Введите любые другие хосты, которые могут отправлять или пересылать почту для этого домена
  4. Насколько строгими должны быть МТА с SPF-поддержкой?

первые несколько вопросов, в которых я почти уверен ... надеюсь, я дал достаточно информации.

vulgarbulgar
источник

Ответы:

68

SPF подробно описывает, каким серверам разрешено отправлять почту для вашего домена.

Вопросы 1-3 действительно суммируют всю суть SPF: вы должны перечислить адреса всех серверов, которым разрешено отправлять почту, приходящую с вашего домена.
Если у вас нет исчерпывающего списка в данный момент, обычно не рекомендуется создавать запись SPF. Также в домене может быть только одна запись SPF, поэтому вам нужно объединить всю информацию в одну запись.

Отдельные вопросы действительно просто помогают разбить список для вас.

  1. запрашивает у вас другие домены , почтовые серверы которых могут ретранслировать почту от вас; если у вас есть, например, вторичный сервер MX по адресу mail-relay.example.org, и это основной почтовый сервер (запись MX) для домена example.org, введите его mx:example.org. Ваша запись SPF должна включать запись MX вашего собственного домена практически при любых обстоятельствах ( mx).
  2. просит у вас ваш ip netblocks. Если у вас есть совместные серверы на 1.2.3.0/28, а адресное пространство вашего офиса - 6.7.8.0/22, введите ip4:1.2.3.0/28 ip4:6.7.8.0/22. IPv6 пространство должно быть добавлено как, например ip6:2a01:9900:0:4::/64.
  3. если (например) у вас также есть выключенный аппарат в чужом офисе, который должен иметь возможность отправлять почту с вашего домена, введите его также, например, с помощью a:mail.remote.example.com.

Пользователи вашего мобильного телефона проблематичны. Если они отправляют электронную почту, подключаясь к вашему почтовому серверу, используя, например, SMTP AUTH, и отправляя через этот сервер, то вы справились с ними, перечислив адрес почтового сервера в (2). Если они посылают электронную почту только при подключении к любому серверу почты предложение провайдера 3G / HSDPA, тогда вы не можете сделать SPF осмысленно , пока вы не rearchitected почтовой инфраструктуры , так что вы делаете контролировать каждую точку , из которой по электронной почте якобы от вас хитов интернет.

Вопрос 4 немного отличается и спрашивает, что получатели должны делать с электронной почтой, которая, как утверждают, пришла с вашего домена, а не с одной из систем, перечисленных выше. Существует несколько юридических ответов, но единственными интересными являются ~all(мягкий отказ) и -all(полный отказ). ?all(нет ответа) так же бесполезно, как ~all(см.) и +allявляется мерзостью.

~allпростой выбор; он сообщает людям, что вы перечислили несколько систем, которым разрешено отправлять почту от вас, но вы не принимаете этот список как исчерпывающий, поэтому почта с вашего домена, поступающая из других систем, все еще может быть законной. Я призываю вас не делать этого. Мало того, что это делает SPF совершенно бессмысленным, но некоторые почтовые администраторы на SF намеренно настраивают свои SPF-приемники так, чтобы они воспринимались ~allкак знак спамера. Если вы этого не сделаете -all, вообще не беспокойтесь о SPF .

-allэто полезный выбор; он сообщает людям, что вы перечислили системы, которым разрешено отправлять электронную почту от вас, и что никакая другая система не уполномочена на это, поэтому они могут отклонить электронные письма от систем, не указанных в вашей записи SPF. В этом и заключается смысл SPF, но вы должны быть уверены, что перечислили все хосты, которым разрешено отправлять или пересылать почту от вас, прежде чем активировать ее .

Google, как известно, советует, что

Публикация записи SPF, в которой используется -all вместо ~ all, может привести к проблемам с доставкой.

ну да, может; в этом весь смысл SPF . Мы не можем точно знать, почему Google дает этот совет, но я сильно подозреваю, что это предотвратит сисадминов, которые точно не знают, откуда происходит их электронное письмо, от проблем с доставкой. Если вы не знаете, откуда взялась вся ваша электронная почта, не используйте SPF . Если вы собираетесь использовать SPF, перечислите все места, откуда он пришел, и расскажите миру, в чем вы уверены в этом списке -all.

Обратите внимание, что ничто из этого не является обязательным для сервера получателя; тот факт, что вы рекламируете запись SPF, никоим образом не обязывает кого-либо соблюдать ее. Администраторы любого почтового сервера сами выбирают, какую электронную почту они принимают или отклоняют. Я думаю, что SPF действительно позволяет вам отказаться от любой дополнительной ответственности за электронную почту, которая, как утверждается, была получена с вашего домена, но не была. Любой почтовый администратор, приходящий к вам с жалобой на то, что ваш домен рассылает им спам, когда они не потрудились проверить запись SPF, которую вы рекламируете и которая сказала бы им, что электронное письмо должно быть отклонено, может быть справедливо отправлен с блохой на ухо.


Поскольку этот ответ был канонизирован, я бы лучше сказал несколько слов об includeи redirect. Последнее проще; если ваша запись SPF, скажем example.com, говорит, говорит redirect=example.org, то example.orgзапись SPF заменяет вашу. example.orgтакже заменяет ваш домен в этих поисках (например, если example.orgзапись включает mxмеханизм, MXпоиск должен выполняться example.org, а не в вашем собственном домене).

includeшироко понимается неправильно, и, как отмечают авторы стандарта, « название« включать »было выбрано плохо ». Если ваш SPF - записи includeсек example.org«ы записи, затем example.org» запись s должен быть осмотрен получателя , чтобы увидеть , если это дает какой - либо причине ( в том числе +all) , чтобы принять вашу электронную почту . Если это так, ваша почта должна пройти. Если это не так, получатель должен продолжать обрабатывать вашу запись SPF до посадки на ваш allмеханизм. Таким образом, -allили вообще любое другое использование, allкроме +all, в includeзаписи d, не влияет на результат обработки.

Для получения дополнительной информации о записях SPF http://www.openspf.org является отличным ресурсом.


Пожалуйста, не поймите это неправильно, но если вы ошиблись в записи SPF, вы можете помешать значительной части Интернета получать от вас электронную почту, пока вы не исправите ее. Ваши вопросы говорят о том, что вы, возможно, не совсем в курсе того, что вы делаете, и если это так, то вы можете рассмотреть возможность получения профессиональной помощи, прежде чем делать что-то, что мешает вам отправлять электронную почту очень большому количеству людей.

Изменить : спасибо за ваши добрые слова, они очень ценятся.

SPF - это, прежде всего, методика предотвращения рабочих мест , но некоторые люди, похоже, начали использовать его для обнаружения спама. Некоторые из них действительно могут придавать отрицательное значение тому, что у вас вообще нет записи SPF или записи за границей (например a:3.4.5.6/2 a:77.5.6.7/2 a:133.56.67.78/2 a:203.54.32.1/2, что довольно хитро приравнивается +all), но это зависит от них, и вы мало что можете с этим поделать.

Я лично считаю, что SPF - это хорошая вещь, и вы должны рекламировать запись, если ваша текущая структура почты позволяет это, но очень трудно дать достоверный ответ, действительный для всего Интернета, о том, как люди используют запись DNS, предназначенную для конкретной цели, когда они решают использовать его для других целей. Все , что я могу с уверенностью сказать, что если вы делаете рекламировать запись SPF с политикой -all, и вы получите это неправильно, многие люди никогда не будут видеть вашу почту.

Редактировать 2 : удалено в соответствии с комментариями и обновлять ответ.

MadHatter поддерживает Монику
источник
оцените подробный и простой английский ответ (который мне, очевидно, был нужен). Вы правильно заметили, что я в основном в темноте и не имею никакого дела в шляпе почтмейстера. следующий вопрос: поскольку мы говорим об очень маленькой операции (всего около 10-15 учетных записей электронной почты) - и не рассылаем большие объемы почты - это то, без чего мы можем выжить в настоящее время или, скорее всего, в конечном итоге там много папок со спамом? когда мы делаем массовую рассылку, мы используем такие службы, как mailchimp и т. д.
vulgarbulgar
~ Все хорошо для двух вещей: 1.что «не полностью сведущие » сценарий вы описали. Это позволяет вам выполнить все настройки в реальном режиме, включая реальное тестирование, перед нажатием на последний триггер. 2.Спам оценки. Если вы действительно не можете контролировать все свои точки выхода почты, ~ все могут помочь оценкам спама для тех систем, которые соответствуют вашей записи (конечно: они могут также повредить счет для тех систем, которые имеют программный сбой).
Джоэл Коэль
Они также могут повлиять на счет в системах-получателях, администраторы которых рассматривают ~allкак индикатор спама на всем домене, из которых есть хотя бы один на SF.
MadHatter поддерживает Монику
2
@MadHatter Комментарий к Edit2 конкретно: текущая спецификация SPF говорит, что вы должны использовать либо TXTили, SPFно, что вы должны использовать оба (идентичные), предлагаемая будущая спецификация SPF отменяется, так SPFкак внедрение было меньше, чем ожидалось, и в основном только вызывает проблемы совместимости. Имея это в виду, кажется, не рекомендуется смотреть только вверх SPF.
Хокан Линдквист
3
Спасибо за правду, и я громко рассмеялся над "+ все мерзость".
Джеркларке
3

Для вашей настройки важна конфигурация сервера, который, наконец, отправляет электронную почту в Интернет. Вы говорите, что отправляете электронные письма через SMTP. Поэтому с точки зрения IP-адреса важна конфигурация вашего SMTP-сервера (вопрос 2).

Если вы используете стороннюю службу, например gmail, для отправки своих электронных писем, вы должны включить их spf-записи следующим образом: include: _spf.google.com (мастер ajax, похоже, не знает об этом).

Для «Насколько строгим» оставьте «мягкий сбой» (~ all), если вы не уверены, но в противном случае «отклонить» (-all) - это путь, когда ваша конфигурация чиста.

Оливье С
источник