Добавление записи SPF для третьей стороны, но не для записи в моем собственном домене

8

У нас есть сторонняя служба, отправляющая электронное письмо от нашего имени. Они используют наше доменное имя в своих исходящих электронных письмах. Они попросили, чтобы мы настроили запись SPF для них.

У нас в настоящее время нет записи SPF, определенной для нашего собственного домена, которая является той же самой, которую сторонняя сторона "подделывает".

Меня беспокоит то, что если мы добавим запись для третьей стороны, не указав свою собственную, то почта, отправленная с наших серверов, может быть отклонена.

Является ли мое беспокойство действительным?

email spf k1DBLITZ
источник
Насколько сложно будет вам его создать?
Майкл Хэмптон
Не сложно. На мой взгляд, потенциальная проблема заключается в том, что мы используем несколько сторонних сервисов, которые в настоящее время подделывают наш домен, и если я не добавлю для них записи SPF, то добавив только 1, я смогу сделать недействительными другие, когда случайные почтовые серверы получают запись SPF для нашего домена и видят, что имена / IP не совпадают.
k1DBLITZ

Ответы:

9

Если у вас нет записи SPF, получатели, как правило, отказоустойчивы и принимают вашу электронную почту (хотя это начинает меняться). Как только вы предоставляете запись SPF, вы должны включить всех законных отправителей почты, потому что в противном случае не перечисленные в списке могут рассматриваться как возможные источники подделки.

Строго говоря, вы можете включить ~allили ?allи не перечислять всех своих отправителей почты, но если вы это сделаете, вы не получите никакой выгоды от записи SPF, кроме как для проверки ее точности в остальном.

В идеале у ваших третьих лиц уже должна быть общая запись SPF, и вы можете просто добавить include:spf.thirdparty.domэлемент в свою запись. Если они этого не делают, вы, возможно, захотите создать свою собственную запись для них и в любом случае сами ее записать, чтобы вам было легко управлять в административном отношении.

Например, если вы contoso.com:

thirdparty1.spf.contoso.com txt 'v=spf1 ... -all' # list their mail senders for you
thirdparty2.spf.contoso.com txt 'v=spf1 ... -all' # list their mail senders for you
spf.contoso.com txt 'v=spf1 ... -all'             # list your mail senders
contoso.com txt 'v=spf1 include:spf.contoso.com include:thirdpart1.spf.contoso.com include:thirdparty2.spf.contoso.com -all'

Некоторые полезные ресурсы:

  • DMARC включает в себя SPF и DKIM и заслуживает рассмотрения. Он активно используется Google, Yahoo и другими для проверки входящей электронной почты, https://dmarc.org/overview/
  • Список лучших практик при настройке записи SPF, http://www.openspf.org/Best_Practices
  • Несмотря на название, полезный рецепт для настройки записи SPF, http://www.openspf.org/FAQ/Common_mistakes
roaima
источник
1
У вас есть источник по этому поводу?
Аарон Холл
@ AaronHall эти ссылки на ресурсы достаточно? Если нет, можете ли вы уточнить, что вы ищете
roaima
7

Вы можете поместить свою стороннюю службу в запись SPF с нейтральным правилом для других серверов:

?all

И включите по крайней мере ваши собственные почтовые серверы с:

+mx

Хорошо иметь запись SPF на свой домен. Начните добавлять белый список и нейтральный для других, и когда у вас будет актуальная запись SPF со всеми вашими серверами, вы можете изменить значение по умолчанию на сбой (-all) или softfail (~ все).

Здесь есть хорошая документация и много другой полезной информации на openspf.org.

Mick
источник
Частично проблема, с которой я сталкиваюсь, заключается в том, что у меня нет обновленного списка всех других компаний, отправляющих электронные письма от нашего имени. Вы хотите сказать, что, если я использую ваш подход, я могу добавить их в записи SPF по мере их обнаружения, не влияя на наш рабочий почтовый поток? Можете ли вы предоставить конкретный пример синтаксиса с вымышленными доменами? Я просматривал информацию, которую вы связали, и она очень полезна, но я не могу позволить себе ошибиться.
k1DBLITZ
Вы можете сделать это шаг за шагом: сначала добавьте ваш сторонний сервис, ваш mx и нейтральный для всех остальных: «a: your3rppart mx? All». Затем обновите ваш SPF с другими серверами. Мы думаем, что вы все изменили политику по умолчанию на softfail или fail
mick
2
Серьезно, SPF без -allних не только совершенно бессмысленен, но некоторые администраторы используют его как активный признак спаммеров. Не делай этого.
MadHatter
«тогда все лучше - все, если вы не знаете, что делаете, политики DMARC по-прежнему применяются к», так же как и «все», и многие большие ESP больше не заботятся обо всех из-за первого утверждения
Джейкоб Эванс
Серьезно, SPF без -all не только совершенно бессмысленен, но некоторые администраторы используют его как активный признак спаммеров. Не делайте этого - тогда они должны исправить свои сломанные системы, которые не соответствуют спецификации SPF; « Если владельцы доменов решили опубликовать записи SPF, РЕКОМЕНДУЕТСЯ, чтобы они заканчивались на« -all » » - ietf.org/rfc/rfc4408.txt - Это не обязательно. SoftFail - это отдельное состояние.
TessellatingHeckler