SPF (Sender Policy Framework) wydaje się dobrym sposobem na zwalczanie spamerów / fałszowania.
Jednak pomimo kilkukrotnego przeczytania wyjaśnień nie do końca rozumiem, jak poprawnie to skonfigurować.
Powiedzmy, że mam serwer na a.x.com
którym gospodarze www.x.com
i b.x.com
a c.x.com
i tak dalej.
Mam również a.co.uk
b.net
c.info
i tak dalej, każdy z nich z asortymentem subdomen, wszystkie hostowane nax.com
W przypadku wszystkich tych domen i subdomen chcę zezwolić na wysyłanie poczty a.x.com
Chciałbym też, aby wszystkie zezwoliły na pocztę wysyłaną z Gmaila dla wszystkich tych domen.
Jak skonfigurować to za pomocą SPF?
Czy mogę ustawić jeden rekord SPF dla x.com
(lub a.x.com
), a następnie dla wszystkiego innego mieć po prostu prosty wskaźnik włączania / wskaźnika do x.com
rekordu, czy też trzeba to zrobić inaczej?
Czy ktoś może podać rekordy SPF dla powyższego przykładu?
Uwaga: na drugą część mojego pytania udzielono odpowiedzi (użyj „ v=spf1 include:x.com -all
”, aby dołączyć / wskaż x.com
rekord), ale kluczowa część tego, co ustawić, x.com
pozostaje bez odpowiedzi ...
źródło
Odpowiedzi:
Nie można uniknąć konieczności zmiany plików stref dla domen innych niż x.com, ale można zaoszczędzić sobie wiele kłopotów, definiując wspólne zasady hostowane w jednej domenie i używając
redirect
słowa kluczowego SPF w innych domenach. Przykład:x.com
domeny:_spf.google.com
jest rekordem zawierającym rekord SPF Gmaila. Nie jestem pewien, czy jest to udokumentowane. Teoretycznie powinieneś,include:gmail.com
ale to jest przekierowanie do,_spf.google.com
a dla qmaila była co najmniej jedna powszechnie używana łatka SPF, która nie postępowała zgodnie z nią (została naprawiona w sierpniu 2008 roku, ale nadal może zostać wdrożona). Dwie zasady są oczywiście przykładami - posiadanie więcej niż jednego z różnymi poziomami rygorystyczności jest niezwykle przydatne podczas debugowania, ponieważ wystarczy zmienić krótką nazwę w domenie docelowej zamiast podatnego na błędy kopiowania.lub
itp. Używam
redirect
, nieinclude
, aby sprawić, że kontrola SPF całkowicie zastąpi aktualnie oceniany rekord na ten, do którego przekierowuję.include
nie robi tego - na przykład znak „-all
na końcu”include
nie powoduje zatrzymania oceny (include
jest to duży błąd). Należy unikać używania,include
gdy chcemy „aliasować” rekord SPF z innej domeny, ponieważ jest on dość kruchy - jeśli przypadkowo zapomnisz końcowy -all, możesz sprawić, że cały SPF w tej domenie będzie nieskuteczny.Edycja: pamiętaj jednak, że musisz być czujny, jeśli chcesz zezwolić serwerom Gmaila na wysyłanie. Chaptcha Gmaila została złamana, co oznacza, że można zautomatyzować rejestrację konta, co oznacza, że Gmail może (pośrednio) być używany jako otwarty przekaźnik (dostaję dziesiątki próśb o rejestrację spambotu na forum mojej firmy, wszystkie za pomocą adresy e-mail gmail.com - a te adresy są aktywne, pozwoliłem przejść kilku osobom w celu sprawdzenia). Ponadto każdy, kto ma konto Gmail, może pominąć sprawdzanie SPF, jeśli zna części uwsername adresów e-mail w twoich domenach .
źródło
v=spf1 include:_spf.google.com ~all
zamiast-all
, jeśli dobrze zrozumiałem, ref. google.com/support/a/bin/answer.py?answer=178723Tak, możesz dołączyć konfigurację z jednej ze swoich domen do rekordów SPF dla wszystkich pozostałych domen. Ustawienie rekordu SPF innych domen na następujące powinno załatwić sprawę:
źródło
Czy próbowałeś użyć narzędzia internetowego na http://www.openspf.org/ ? Może ci to ułatwić poradzenie sobie z tym ...
Po prostu wpisz swoją domenę w prawym górnym polu i kliknij przycisk Idź. Stamtąd powinieneś być w stanie szybko wszystko skonfigurować.
źródło
Standard RFC 4408 , zawiera kilka przykładów, które są bardzo zbliżone do tego, co chcesz. Oto fragment pliku strefy x.com:
Uwagi:
źródło
Tak, musisz dodać konkretny rekord SPF do każdej domeny osobno.
Powodem tego jest to, że jedynym (użytecznym) rekordem typu aliasingu w DNS jest
CNAME
rekord. JednakCNAME
rekord powoduje aliasing dla WSZYSTKICH typów RR w zestawie RR - nie można powiedzieć „CNAME
rekord SPF, ale nieMX
rekordy ”źródło