Вопрос: Что такое записи SPF и как их настроить?


Это канонический вопрос о создании Записи SPF,

У меня есть офис со многими компьютерами, в которых есть один внешний ip (я не уверен, что адрес статический или динамический). Каждый компьютер подключается к нашему почтовому серверу через IMAP, используя Outlook. Электронная почта отправляется и получает эти компьютеры, а некоторые пользователи также отправляют и получают электронную почту на своих мобильных телефонах.

я использую http://wizard.easyspf.com/ для создания записи SPF, и я не уверен в некоторых из полей в мастере, а именно:

  1. Введите любые другие домены, которые могут отправлять или ретранслировать почту для этого домена.
  2. Введите любые IP-адреса в формате CIDR для сетевых блоков, которые инициируют или ретранслируют почту для этого домена.
  3. Введите любые другие хосты, которые могут отправлять или ретранслировать почту для этого домена.
  4. Насколько жестким должен быть MTA с поддержкой SPF?

первые несколько вопросов, о которых я точно знаю ... надеюсь, что я дал достаточно информации.


46
2018-03-14 05:45


Источник




Ответы:


SPF записывает подробные сведения о том, какие серверы разрешены Отправить mail для вашего домена.

Вопросы 1-3 действительно суммируют весь смысл SPF: вы должны указывать адреса всех серверов, которым разрешено отправлять почту, поступающую из вашего домена.
Если в настоящий момент у вас нет исчерпывающего списка, обычно не рекомендуется настраивать запись SPF. Кроме того, в домене может быть только одна запись SPF, поэтому вам нужно объединить всю информацию в одну запись.

Отдельные вопросы действительно просто помогают разбить список для вас.

  1. просит вас домены чьи почтовые серверы могут отправлять вам почту; если у вас есть, например, вторичный сервер MX на mail-relay.example.org, и это главный почтовый сервер (запись MX) для домена example.org, то вы должны ввести mx:example.org, Ваша запись SPF должна включать запись MX вашего собственного домена при почти всех обстоятельствах (mx).
  2. запрашивает у вас IP-блоки. Если у вас есть размещенные серверы в 1.2.3.0/28, а ваше офисное адресное пространство - 6.7.8.0/22, введите ip4:1.2.3.0/28 ip4:6.7.8.0/22, IPv6-пространство должно быть добавлено, например, ip6:2a01:9900:0:4::/64,
  3. если (например, у вас также есть компьютер в чужой кассе, которому разрешено отправлять почту из вашего домена, введите это также, например a:mail.remote.example.com,

Ваши пользователи мобильных телефонов являются проблематичными. Если они отправляют электронную почту, подключаясь к вашему почтовому серверу, используя, например, SMTP AUTH, и отправляют через этот сервер, то вы справились с ними, указав адрес почтового сервера в (2). Если они отправляют электронную почту, просто подключаясь к любому почтовому серверу, предлагающему провайдер 3G / HSDPA, тогда вы не сможете сделать SPF значимым до тех пор, пока вы не закроете свою инфраструктуру электронной почты, чтобы вы делать контролировать каждую точку, из которой почта, предназначенная для вас, попадает в Интернет.

Вопрос 4 немного отличается и спрашивает, какие получатели должны делать с электронной почтой, которая утверждает, что она принадлежит вам из вашего домена, не из одной из перечисленных выше систем. Существует несколько юридических ответов, но единственными интересными являются ~all (мягкий сбой) и -all (жесткий отказ). ?all (нет ответа) столь же бесполезен, как и ~all (qv) и +all это мерзость.

~all это простой выбор; он сообщает людям, что вы перечислили множество систем, которым разрешено отправлять вам почту, но вы не делаете этого списка исчерпывающим, поэтому почта из вашего домена, поступающая из других систем, все еще может быть законной. Я призываю вас не для этого. Это не только делает SPF совершенно бессмысленным, но некоторые администраторы почты на SF намеренно настраивают свои SPF-приемники для лечения ~all как значок спамера. Если вы не собираетесь делать -all, не беспокойтесь о SPF,

-all это полезный выбор; он сообщает людям, что вы перечислили системы, которым разрешено отправлять вам электронную почту, и что никакая другая система не уполномочена делать это, поэтому они в порядке, чтобы отклонить электронные письма из систем, не указанных в вашей записи SPF. Это точка SPF, но вы должны быть уверены, что указали все хосты, которым разрешено инициировать или ретранслировать почту, прежде чем активировать ее,

Google - это известный для консультирования что

Публикация записи SPF, которая использует -all вместо ~ all, может привести к   проблемы с доставкой.

хорошо, да, это возможно; это и есть смысл SPF, Мы не можем точно знать, почему google дает этот совет, но я сильно подозреваю, что это предотвращает появление системных администраторов, которые точно не знают, откуда их почта возникает из-за проблем с доставкой. Если вы не знаете, откуда приходит ваша электронная почта, не используйте SPF, Если вы собираетесь использовать SPF, перечислите все места, из которых оно происходит, и сообщите миру, что вы уверены в этом списке, с -all,

Обратите внимание: ни одна из этих ссылок не является обязательной для сервера получателя; тот факт, что вы рекламируете запись SPF, никоим образом не обязывает кого-либо уважать ее. Администраторы любого почтового сервера могут принимать сообщения, которые они предпочитают принимать или отклонять. То, что я думаю, что SPF делает, позволяет вам отказаться от какой-либо дополнительной ответственности за электронную почту, которая, как утверждается, была из вашего домена, но не была. Любой почтовый администратор, пришедший к вам, жалуется, что ваш домен отправляет им спам когда они не потрудились проверить запись SPF, которую вы рекламируете, что бы им сказали, что письмо должно быть отклонено могут быть честно отправлены с блохой в ухо.


Поскольку этот ответ был канонизирован, я должен сказать несколько слов о include а также redirect, Последнее проще; если ваша запись SPF, скажем, для example.com, говорит redirect=example.org, тогда example.orgSPF-запись заменяет твой собственный. example.org также подставляется для вашего домена в те (например, если example.orgЗапись включает в себя mx механизма, MX поиск должен выполняться на example.org, а не в вашем собственном домене).

includeшироко понимается, и как отмечают авторы стандарта "название «включить» было выбрано плохо«Если ваша запись SPF includes example.org, тогда example.orgдолжна быть проверена получателем, чтобы увидеть если он дает какую-либо причину (в том числе +all), чтобы принять ваш адрес электронной почты, Если это так, ваша почта должна пройти. Если это не так, получатель должен продолжить обработку вашей записи SPF до тех пор, пока вы не приземлитесь на свой all механизм. Таким образом, -all, или действительно Любые другое использование all Кроме +all, в included, не влияет на результат обработки.

Для получения дополнительной информации о записях SPF http://www.openspf.org является отличным ресурсом.


Пожалуйста, не принимайте это неправильно, но если вы ошиблись в записи SPF, вы можете остановить значительную часть Интернета от получения от вас электронной почты, пока вы ее не исправите. Ваши вопросы предполагают, что вы, возможно, не полностью au fait с тем, что вы делаете, и если это так, то вы можете подумать о том, чтобы получить профессиональную помощь, прежде чем делать что-то, что мешает вам отправлять электронную почту большому количеству людей.

редактировать: Благодарю вас за ваши добрые слова, они очень ценятся.

SPF - это прежде всего метод предотвращения джо-маклерство, но некоторые люди, похоже, начали использовать его, чтобы попытаться обнаружить спам. Некоторые из них действительно могут приложить отрицательное значение к тому, что у вас вообще нет записи SPF, или для записи за пределами (например, a:3.4.5.6/2 a:77.5.6.7/2 a:133.56.67.78/2 a:203.54.32.1/2, что довольно скрытно приравнивается к +all), но это зависит от них, и вы не можете с этим поделать.

Я лично считаю, что SPF - это хорошо, и вы должны рекламировать запись, если это позволяет ваша текущая структура почты, но очень сложно дать авторитетный ответ, действительный для всего Интернета, о том, как люди используют запись DNS, предназначенную для когда они решили использовать его для другой цели. Я могу с уверенностью сказать, что если вы делать рекламировать запись SPF с политикой -all, и вы ошибаетесь, многие люди никогда не заметят вашу почту.

Изменить 2: удалены в соответствии с комментариями и для поддержания актуальности ответа.


61
2018-03-14 07:08



оцените тщательный и простой английский ответ (который я, очевидно, нуждался). вы правы, отмечая, что я в основном в темноте, и не имею никакого дела, носящего шляпу почтмейстера. следующий вопрос: поскольку мы говорим о очень маленькой операции (всего около 10-15 учетных записей электронной почты) - и не отправляйте большие объемы почты - это то, что мы можем выжить без какого-либо времени или, скорее всего, в конце концов, есть много спам-папок? когда мы делаем массовую рассылку, мы используем такие услуги, как mailchimp и т. д. - vulgarbulgar
Все хорошо для двух вещей: 1. Это "не полностью au fait», который вы описали. Он позволяет вам выполнять все настройки в реальном режиме, в том числе в реальном тестировании, до того, как вытащить последний триггер. 2. Оценка спама. Если вы действительно не можете управлять всеми точками выхода почты, ~ все могут помочь подсчетам спама для тех систем, которые соответствуют вашей записи (разумеется: они также могут повредить счет для тех систем, которые не работают). - Joel Coel
Они также могут повредить счет с помощью систем получателей, чьи администраторы считают ~all как индикатор спама по всему домену, из которых по крайней мере один на SF. - MadHatter
@MadHatter Комментарий к Edit2: текущая спецификация SPF говорит, что вы должны использовать либо TXT или SPF но вы должны использовать оба (одинаковые), предлагаемые Предстоящая спецификация SPF потерянных вызовов SPF поскольку восприятие было меньше ожидаемого и в основном просто вызывает проблемы совместимости. Имея это в виду, кажется, что советуют только смотреть вверх SPF, - Håkan Lindqvist
Спасибо за правду, и я громко рассмеялся: «+ все мерзость». - jerclarke


Для вашей настройки важна конфигурация сервера, которая, наконец, отправляет электронное письмо в Интернет. Вы говорите, что отправляете электронные письма через SMTP. Таким образом, с точки зрения IP-адреса важна конфигурация вашего SMTP-сервера (вопрос 2)

Если вы используете стороннюю систему, такую ​​как gmail, для отправки своих писем, вам необходимо включить их записи spf следующим образом: включают в себя: _spf.google.com (мастер ajax, похоже, не знает об этом).

Для «Как Строгий» оставьте «мягкий сбой» (~ все), если вы не уверены, но иначе «отклонить» (-все) - это путь, когда ваша конфигурация чиста.


2
2018-03-14 07:08