Co to są rekordy SPF i jak je skonfigurować?

49

To kanoniczne pytanie dotyczące konfigurowania rekordów SPF .

Mam biuro z wieloma komputerami, które korzystają z jednego zewnętrznego adresu IP (nie jestem pewien, czy adres jest statyczny czy dynamiczny). Każdy komputer łączy się z naszym serwerem pocztowym za pośrednictwem protokołu IMAP przy użyciu programu Outlook. E-maile są wysyłane i odbierane przez te komputery, a niektórzy użytkownicy wysyłają i odbierają również wiadomości e-mail na telefony komórkowe.

Korzystam z http://wizard.easyspf.com/, aby wygenerować rekord SPF i nie jestem pewien co do niektórych pól kreatora, w szczególności:

  1. Wprowadź inne domeny, które mogą wysyłać lub przekazywać pocztę dla tej domeny
  2. Wprowadź dowolne adresy IP w formacie CIDR dla bloków sieciowych, które pochodzą lub przekazują pocztę dla tej domeny
  3. Wprowadź inne hosty, które mogą wysyłać lub przekazywać pocztę dla tej domeny
  4. Jak surowe powinny być traktowane przez MTA świadome SPF?

pierwszych kilku pytań, których jestem pewien ... mam nadzieję, że podałem wystarczająco dużo informacji.

wulgarbulgar
źródło

Odpowiedzi:

68

SPF rejestruje szczegółowo, które serwery mogą wysyłać pocztę dla Twojej domeny.

Pytania 1-3 naprawdę podsumowują cały sens SPF: powinieneś podać adresy wszystkich serwerów, które są upoważnione do wysyłania poczty przychodzącej z twojej domeny.
Jeśli nie masz w tej chwili wyczerpującej listy, zazwyczaj nie jest dobrym pomysłem utworzenie rekordu SPF. Ponadto domena może mieć tylko jeden rekord SPF, więc musisz połączyć wszystkie informacje w jeden rekord.

Poszczególne pytania naprawdę pomagają w przełamaniu listy.

  1. prosi o inne domeny, których serwery pocztowe mogą przekazywać pocztę od ciebie; jeśli masz np. dodatkowy serwer MX pod adresem mail-relay.example.org i jest to główny serwer pocztowy (rekord MX) dla domeny example.org, powinieneś wpisać mx:example.org. Twój rekord SPF powinien zawierać rekord MX Twojej domeny w prawie wszystkich okolicznościach ( mx).
  2. prosi o twoje netblocks ip. Jeśli kolokowałeś serwery w wersji 1.2.3.0/28, a przestrzeń adresowa biura to 6.7.8.0/22, wprowadź ip4:1.2.3.0/28 ip4:6.7.8.0/22. Przestrzeń IPv6 powinna zostać dodana np ip6:2a01:9900:0:4::/64.
  3. jeśli (np.) masz także wyłączoną maszynę w czyimś biurze, która musi mieć pozwolenie na wysyłanie poczty z Twojej domeny, wpisz ją również za pomocą np a:mail.remote.example.com.

Użytkownicy telefonów komórkowych mają problemy. Jeśli wysyłają wiadomości e-mail, łącząc się z serwerem poczty za pomocą np. SMTP AUTH i wysyłając je przez ten serwer, oznacza to, że masz do czynienia z listą adresu serwera poczty w (2). Jeśli wyślą e-mail po prostu podłączenia do jakiegokolwiek serwera poczty ofercie 3G / HSDPA dostawcy, wtedy nie można zrobić SPF sensownie, dopóki nie rearchitected infrastruktury e-mail, dzięki czemu nie kontrolować każdy punkt, z którego e-mail rzekomo od ty uderza Internet.

Pytanie 4 jest nieco inne i dotyczy tego, co powinni zrobić odbiorcy wiadomości e-mail, która twierdzi, że pochodzi z Twojej domeny, ale nie pochodzi z żadnego z wymienionych powyżej systemów. Istnieje kilka odpowiedzi prawnych, ale jedyne interesujące to ~all(miękka porażka) i -all(twarda porażka). ?all(brak odpowiedzi) jest tak samo bezużyteczne jak ~all(qv) i +alljest obrzydliwością.

~alljest prostym wyborem; informuje ludzi, że wymieniłeś kilka systemów, które są upoważnione do wysyłania od ciebie poczty, ale nie zobowiązujesz się do tego, aby lista była wyczerpująca, więc poczta z Twojej domeny pochodząca z innych systemów może nadal być legalna. Wzywam was, abyście tego nie robili. To nie tylko sprawia, że ​​SPF jest całkowicie bezcelowe, ale niektórzy administratorzy poczty na SF celowo konfigurują swoje odbiorniki SPF, aby traktowali je ~alljak odznakę spamera. Jeśli nie masz zamiaru tego robić -all, nie przejmuj się SPF .

-alljest przydatnym wyborem; informuje osoby, że wymieniłeś systemy, które mogą wysyłać od ciebie wiadomości e-mail, i że żaden inny system nie jest do tego upoważniony, więc są w stanie odrzucić wiadomości e-mail z systemów niewymienionych w rekordzie SPF. To jest punkt SPF, ale musisz się upewnić, że przed aktywacją wymieniono wszystkie hosty, które są upoważnione do inicjowania lub przekazywania poczty .

Google jest znany poinformować , że

Opublikowanie rekordu SPF, który używa -all zamiast ~ all, może powodować problemy z dostarczaniem.

no tak, może; taki jest cel SPF . Nie wiemy na pewno, dlaczego Google udziela takiej porady, ale mocno podejrzewam, że ma to na celu zapobieżenie administratorom systemów, którzy nie wiedzą dokładnie, skąd pochodzą wiadomości e-mail, nie powodując problemów z dostarczaniem. Jeśli nie wiesz, skąd pochodzi cały Twój e-mail, nie używaj SPF . Jeśli zamierzasz używać SPF, wymień wszystkie miejsca, z których pochodzi, i powiedz światu, że jesteś pewny na tej liście -all.

Zauważ, że nic z tego nie jest wiążące na serwerze odbiorcy; fakt, że reklamujesz rekord SPF, w żaden sposób nie zobowiązuje nikogo do honorowania go. Od administratorów dowolnego serwera pocztowego zależy, który e-mail zdecyduje się zaakceptować lub odrzucić. Moim zdaniem SPF pozwala zrzec się wszelkiej dalszej odpowiedzialności za wiadomości e-mail, które rzekomo pochodzą z Twojej domeny, ale nie zostały. Każdy administrator poczty przychodzący do ciebie narzekający, że twoja domena wysyła mu spam, gdy nie zadał sobie trudu, aby sprawdzić reklamowany przez ciebie rekord SPF, który powiedziałby im, że wiadomość e-mail powinna zostać odrzucona, może zostać wysłany z pchłą do ucha.


Ponieważ ta odpowiedź została kanonizowana, lepiej powiedzieć kilka słów o includei redirect. To drugie jest prostsze; jeśli twój rekord SPF, powiedzmy za example.com, mówi redirect=example.org, wtedy example.orgrekord SPF zastępuje twój własny. example.orgzastępuje również domenę w tych przeglądach (np. jeśli example.orgrekord zawiera mxmechanizm, MXwyszukiwanie powinno zostać wykonane example.org, a nie we własnej domenie).

includejest powszechnie źle rozumiany, a jak zauważają autorzy standardu,nazwa” zawiera „została źle wybrana ”. Jeśli rekord SPF includes example.org„s rekordu, a następnie example.org” s rekord powinien być zbadany przez odbiorcę, aby zobaczyć , czy to daje żadnego powodu (włącznie +all), aby zaakceptować swój e-mail . Jeśli tak, poczta powinna przejść. Jeśli nie, odbiorca powinien kontynuować przetwarzanie rekordu SPF, dopóki nie wyląduje na allmechanizmie. Zatem -all, czy rzeczywiście każdy inny wykorzystanie allwyjątkiem +all, w includerekordzie d, nie ma wpływu na wynik przetwarzania.

Aby uzyskać więcej informacji na temat rekordów SPF, http://www.openspf.org jest doskonałym źródłem.


Nie bierz tego źle, ale jeśli pomylisz się w zapisie SPF, możesz powstrzymać znaczną część internetu przed otrzymywaniem wiadomości e-mail, dopóki go nie naprawisz. Twoje pytania sugerują, że możesz nie być całkowicie au fait z tym, co robisz, a jeśli tak, to możesz rozważyć skorzystanie z profesjonalnej pomocy, zanim zrobisz coś, co powstrzyma Cię przed wysłaniem wiadomości e-mail do okropnej liczby osób.

Edytuj : dziękuję za miłe słowa, są one bardzo mile widziane.

SPF jest przede wszystkim techniką zapobiegania joe-jobbingowi , ale wydaje się, że niektórzy ludzie zaczęli go używać do wykrywania spamu. Niektóre z nich rzeczywiście mogą przypisywać ujemną wartość Twojemu brakowi rekordu SPF lub rekordowi naziemnemu (np. a:3.4.5.6/2 a:77.5.6.7/2 a:133.56.67.78/2 a:203.54.32.1/2, Który raczej podstępnie to równoważy +all), ale to zależy od nich i niewiele możesz na to poradzić .

Osobiście uważam, że SPF jest dobrą rzeczą i powinieneś ogłosić rekord, jeśli Twoja obecna struktura poczty na to pozwala, ale bardzo trudno jest udzielić wiarygodnej odpowiedzi, ważnej dla całego Internetu, na temat tego, jak ludzie używają rekordu DNS zaprojektowanego dla określony cel, gdy decydują się użyć go do innego celu. Wszystko, co mogę powiedzieć z pewnością, że jeśli zrobić reklamować rekordu SPF z polityką -all, a to źle, wiele osób nigdy nie zobaczyć swoją pocztę.

Edycja 2 : usunięto zgodnie z komentarzami i aktualizowano odpowiedź.

Szalony Kapelusznik
źródło
doceniam dokładną i prostą angielską odpowiedź (której oczywiście potrzebowałem). masz rację, zauważając, że jestem głównie w ciemności i nie mam nic do roboty w kapeluszu postmastera. kolejne pytanie: skoro mówimy o bardzo małej operacji (łącznie około 10-15 kont e-mail) - i nie wysyłamy dużych ilości poczty - czy jest to coś, bez czego na razie możemy przetrwać lub prawdopodobnie skończyć w wielu folderach ze spamem? kiedy robimy masową wysyłkę, korzystamy z usług takich jak mailchimp itp.
wulgarbulgar
~ Wszystko jest dobre dla dwóch rzeczy: opisanego przez ciebie scenariusza 1.„nie do końca au fait ”. Pozwala wykonać całą konfigurację w prawdziwy sposób, łącznie z prawdziwymi testami, przed pociągnięciem za spust. 2.Wyniki spamu. Jeśli naprawdę nie jesteś w stanie kontrolować wszystkich punktów wyjścia poczty, ~ wszystko może pomóc w ocenie spamu dla systemów, które pasują do twojego rekordu (oczywiście: mogą również zranić wynik dla tych systemów, które źle działają).
Joel Coel
Mogą również zaszkodzić wynikowi w systemach adresatów, których administratorzy uważają ~allza wskaźnik spamu w całej domenie, którego co najmniej jeden jest na SF.
MadHatter
2
@MadHatter Komentarz do Edit2 konkretnie: Obecna specyfikacja SPF mówi, że musisz użyć jednego TXTlub obu, SPFale że powinieneś używać obu (identycznych), proponowana nadchodząca specyfikacja SPF porzuca, SPFponieważ absorpcja jest mniejsza niż oczekiwano i głównie powoduje problemy z interoperacyjnością. Mając to na uwadze, wydaje się, że nie zaleca się jedynie patrzeć w górę SPF.
Håkan Lindqvist
3
Dzięki za prawdę i śmiałem się głośno z „+ wszystko jest obrzydliwością”.
jerclarke
3

Ważna dla twojej konfiguracji jest konfiguracja serwera, który ostatecznie wysyła wiadomość e-mail do Internetu. Mówisz, że wysyłasz wiadomości e-mail przez SMTP. Jeśli chodzi o adres IP, liczy się konfiguracja serwera SMTP (pytanie 2)

Jeśli używasz strony trzeciej, takiej jak Gmail, do wysyłania e-maili, musisz dołączyć ich rekordy SPF w następujący sposób: include: _spf.google.com (kreator ajax nie wydaje się o tym wiedzieć).

W polu „How Surent” pozostaw „soft fail” (~ all), jeśli nie jesteś pewien, ale w przeciwnym razie możesz odrzucić „-all”, gdy twoja konfiguracja jest czysta.

Olivier S.
źródło