Що таке записи SPF і як їх налаштувати?


49

Це канонічне питання щодо налаштування записів SPF .

У мене є офіс з багатьма комп'ютерами, які мають спільний зовнішній ip (я не впевнений, чи адреса статична чи динамічна). Кожен комп'ютер підключається до нашого поштового сервера через IMAP за допомогою outlook. Електронна пошта надсилається та отримується цими комп’ютерами, а деякі користувачі також надсилають та отримують електронну пошту на свої мобільні телефони.

Я використовую http://wizard.easyspf.com/ для створення запису SPF, і я не впевнений у деяких полях майстра, зокрема:

  1. Введіть будь-які інші домени, які можуть надсилати або пересилати пошту для цього домену
  2. Введіть будь-які IP-адреси у форматі CIDR для мережевих блоків, які походять або передають пошту для цього домену
  3. Введіть будь-які інші хости, які можуть надсилати або пересилати пошту для цього домену
  4. Наскільки суворо слід ставитись до цього МТА з боку СПФ?

перші кілька питань, з якими я досить впевнений ... сподіваюся, що я дав достатньо інформації.

Відповіді:


68

SPF реєструє детально, які сервери можуть надсилати пошту для вашого домену.

Запитання 1-3 справді резюмують всю суть SPF: Ви повинні вказати адреси всіх серверів, які мають право надсилати пошту, що надходить з вашого домену.
Якщо ви не маєте вичерпного списку на даний момент, це, як правило, не гарна ідея встановити запис SPF. Також домен може мати лише один запис SPF, тому вам потрібно буде об'єднати всю інформацію в один запис.

Індивідуальні запитання справді просто допомагають скласти список.

  1. просить вас про інші домени , поштові сервери яких можуть пересилати пошту від вас; якщо у вас є, наприклад, вторинний MX-сервер на mail-relay.example.org, і це основний поштовий сервер (MX-запис) для домену example.org, тоді вам слід ввести mx:example.org. Ваш запис SPF повинен містити запис MX вашого власного домену майже за будь-яких обставин ( mx).
  2. просить вас про ваші ip нетблоки. Якщо ви розмістили сервери на 1.2.3.0/28, а адресний простір вашого офісу - 6.7.8.0/22, введіть ip4:1.2.3.0/28 ip4:6.7.8.0/22. Простір IPv6 слід додати як напр ip6:2a01:9900:0:4::/64.
  3. якщо (наприклад) у вас також вимкнута машина в чужому офісі, якому потрібно дозволити надсилати пошту з вашого домену, введіть це також, наприклад, з a:mail.remote.example.com.

Користувачі вашого мобільного телефону є проблематичними. Якщо вони надсилають електронну пошту, підключаючись до вашого поштового сервера за допомогою, наприклад, SMTP AUTH, і надсилаючи через цей сервер, ви вирішили з ними вказати адресу поштового сервера в (2). Якщо вони посилають електронну пошту тільки при підключенні до будь-якого сервера пошти пропозицію провайдера 3G / HSDPA, тоді ви не можете зробити SPF осмислено , поки ви не rearchitected поштової інфраструктури , так що ви робите контролювати кожну точку , з якої по електронній пошті нібито від вас хітів Інтернет.

Питання 4 дещо інше, і він запитує, що одержувачі повинні робити з електронною поштою, яка претендує на ваш домен, який не надходить з однієї з перерахованих вище систем. Є декілька правових відповідей, але єдиними цікавими є ~all(soft fail) та -all(hard fail). ?all(немає відповіді) так само марно, як ~all(qv), і +allгидота.

~all- простий вибір; він повідомляє людям, що ви перерахували купу систем, які мають право надсилати пошту від вас, але ви не зобов'язуєтесь до того, щоб цей список був вичерпним, тому пошта з вашого домену, що надходить з інших систем, все ще може бути законною. Я закликаю вас цього не робити. SPF не тільки робить цілком безглуздим, але деякі поштові адміністратори в SF навмисно налаштовують свої приймачі SPF для того, щоб вважати ~allїх знаком спамера. Якщо ви цього не збираєтеся -all, взагалі не турбуйтеся з SPF .

-all- корисний вибір; він повідомляє людям, що ви перерахували системи, яким дозволено надсилати електронну пошту від вас, і що жодна інша система не уповноважена робити це, тому вони в порядку, щоб відхиляти електронні листи із систем, які не вказані у вашому записі SPF. Це суть SPF, але ви повинні бути впевнені, що ви перерахували всі хости, які мають право надсилати або пересилати пошту від вас, перш ніж активувати її .

Google буде відомо, порадьте , що

Опублікування запису SPF, який використовує -all замість ~ all, може спричинити проблеми з доставкою.

ну так, так, може; у цьому вся суть SPF . Ми не можемо точно знати, чому Google дає цю пораду, але я сильно підозрюю, що це запобігає сисадмінам, які точно не знають, звідки походить їх електронний лист, не спричиняючи проблем із доставкою. Якщо ви не знаєте, звідки походить ваш електронний лист, не використовуйте SPF . Якщо ви збираєтесь використовувати SPF, перелічіть усі місця, з яких він походить, та повідомте світу, з яким ви впевнені в цьому списку -all.

Зауважте, що жодне з цього не є обов'язковим для сервера одержувача; той факт, що ви рекламуєте запис SPF, ні в якому разі не зобов'язує когось іншого шанувати. Адміні будь-якого поштового сервера залежить від того, яку електронну пошту вони вирішать прийняти чи відхилити. Я думаю, що SPF робить це дозволяє вам зняти з себе будь-яку подальшу відповідальність за електронну пошту, яка, як стверджується, з вашого домену, але не була. Будь-який адміністратор пошти, який звертається до вас, скаржиться на те, що ваш домен надсилає їм спам, коли вони не намагаються перевірити запис SPF, який ви рекламуєте, який би сказав їм, що повідомлення електронної пошти має бути відхилено, можна справедливо відправити з блохами у вухо.


Оскільки ця відповідь є канонізованою, я б краще сказав кілька слів про includeі redirect. Останнє простіше; якщо ваш запис SPF, скажімо, для example.com, каже redirect=example.org, тоді example.orgзапис SPF замінює ваш власний. example.orgтакож замінюється для вашого домену в цих пошукових оглядах (наприклад, якщо example.orgзапис запису включає mxмеханізм, MXпошук слід робити на example.org, а не на власному домені).

includeшироко неправильно зрозуміла, і як зазначають автори стандарту, " ім'я" включити "було обрано погано ". Якщо ваш SPF - записи includeсек example.org«и записи, потім example.org» запис s повинен бути оглянутий одержувача , щоб побачити , якщо це дає якийсь - небудь причини ( в тому числі +all) , щоб прийняти вашу електронну пошту . Якщо це станеться, ваша пошта повинна пройти. Якщо цього не відбувається, одержувач повинен продовжувати обробляти ваш запис SPF до посадки на ваш allмеханізм. Таким чином, -allабо дійсно будь інше використання , allкрім +all, в includeд записи, не робить ніякого впливу на результат обробки.

Для отримання додаткової інформації про записи SPF http://www.openspf.org - прекрасний ресурс.


Будь ласка, не сприймайте це неправильно, але якщо ви отримаєте запис SPF неправильно, ви можете зупинити значну частину Інтернету від отримання електронної пошти від вас, поки не виправите це. Ваші питання пропонують Вам не може бути повністю обізнаним з тим, що ви робите, і якщо це так, то ви можете розглянути можливість отримання професійної допомоги , перш ніж зробити що - то , що вас зупиняє відправку по електронній пошті жахливо багато людей.

Редагувати : дякую за добрі слова, їх дуже цінують.

SPF - це в першу чергу техніка запобігання джоубінгу , але, здається, деякі люди почали використовувати його, щоб спробувати виявити спам. Деякі з них дійсно можуть присвоїти негативне значення тому, що у вас взагалі немає запису SPF або запису за кордоном (наприклад a:3.4.5.6/2 a:77.5.6.7/2 a:133.56.67.78/2 a:203.54.32.1/2, який досить прискіпливо прирівнюється до +all), але це залежить від них, і ви не можете багато з цим зробити.

Я особисто вважаю, що SPF - це добре, і вам слід рекламувати запис, якщо ваша поточна структура пошти це дозволяє, але дуже важко дати авторитетну відповідь, дійсну для всього Інтернету, про те, як люди використовують запис DNS, призначений для конкретна мета, коли вони вирішили використовувати його для іншої мети. Все , що я можу з упевненістю сказати, що якщо ви робите рекламувати запис SPF з політикою -all, і ви отримаєте це неправильно, багато людей ніколи не будуть бачити вашу пошту.

Редагування 2 : видалено відповідно до коментарів, і щоб оновити відповідь актуальною.


оцініть ретельну та просту англійську відповідь (яка мені, очевидно, потрібна). ви вірно зауважили, що я здебільшого в темряві і не маю справи носити шапку пошти. наступне питання: оскільки ми говоримо про дуже невелику операцію (приблизно 10-15 облікових записів електронної пошти загалом) - і не надсилаємо великі обсяги пошти - це те, на що ми можемо пережити, чи не буде опинитися в безлічі спам-папок там? коли ми робимо масові розсилки, ми використовуємо такі сервіси, як mailchimp тощо.
vulgarbulgar

~ Все добре для двох речей: описаний вами сценарій 1."не повністю au fait ". Це дозволяє робити всі налаштування по-справжньому, включаючи реальне тестування, перед тим, як натягнути останній тригер. 2.Спам балів. Якщо ви дійсно не можете контролювати всі точки виходу з пошти, ~ all може допомогти оцінці спаму для тих систем, які відповідають вашому запису (звичайно: вони також можуть зашкодити оцінці для тих систем, які виходять з ладу).
Joel Coel

Вони також можуть завдати шкоди оцінкам системам одержувачів, адміністратори яких розглядають ~allяк показник спаму для всього домену, якого в SF є принаймні один.
MadHatter

2
@MadHatter Коментар до Edit2 конкретно: Поточна специфікація SPF говорить, що ви повинні використовувати або TXTабо, SPFале ви повинні використовувати обидва (однакові), запропоновані майбутні специфікації SPF відмовляються, SPFоскільки поглинання було менше, ніж очікувалося, і в основному викликає проблеми інтероперабельності. Зважаючи на це, мабуть, радимо лише підняти погляд SPF.
Хокан Ліндквіст

3
Дякую за правду, і я голосно сміявся з "+ все це гидота".
jerclarke

3

Важливо для вашої установки - це конфігурація сервера, який нарешті надсилає електронне повідомлення в Інтернет. Ви кажете, що надсилаєте електронні листи через SMTP. Отже, з точки зору IP-адреси важлива конфігурація вашого SMTP-сервера (питання 2)

Якщо ви використовуєте сторонні листи, наприклад gmail, для надсилання своїх електронних листів, ви повинні включити їх записи SPF, як це: include: _spf.google.com (майстер ajax, здається, не знає про це).

Для "How Stringent" залиште "soft fail" (~ all), якщо ви не впевнені, але в іншому випадку "відхилити" (-all) - це спосіб пройти, як тільки ваша конфігурація буде очищена.

Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.