Jeśli używany jest „a: domain.com”, czy obejmuje on wiadomości e-mail wysyłane z adresu *@subdomain.domain.com?

2

Podobno mam example.com domena i chciałby, aby zezwalała na wysyłanie wiadomości e-mail subdomain.domain.com.

Jeśli rekord spf powinien zweryfikować wiadomości e-mail wysłane z adresu *@subdomain.domain.com (lub wysłane przez: subdomain.domain.com), czy "v=spf1 a:domain.com ~all" zezwalaj również na subdomenę domain.com lub tylko na domain.com?

Nie jestem pewien, czy moje pytanie ma sens, ale z przyjemnością znajdę odpowiedź.

Savvas Radevic
źródło

Odpowiedzi:

3

SPF działa nieco inaczej niż próbujesz opisać.


Rekordy SPF nie zezwalają na domeny; pozwalają serwery pocztowe. Kiedy umieścisz a:domain.com w rekordzie SPF oznacza to tylko „akceptuj pocztę z adresu IP znaleźć w domain.com/A „. Jeśli to rzeczywiście wskazuje na Twój wychodzący serwer SMTP, dobrze.

include:domain.com działa w podobny sposób: zamiast rekordów „A”, wykonuje wyszukiwanie rekordów „TXT” i importuje politykę SPF domeny.com. Ale to nadal sprowadza się do „akceptowania poczty z tych adresów IP, które SPF domeny.com zaakceptowałaby”.

Więc odpowiedzieć na pytanie a: lub include: nie będzie zawierać subdomen. To nie miałoby sensu i jest w rzeczywistości niemożliwe: walidatorzy nie wiedzą, że dany adres IP istnieje gdzieś wewnątrz domeny.


Rekordy SPF sami można znaleźć, sprawdzając domenę nadawcy w DNS. Na przykład, jeśli wiadomość ma [email protected] jako adres Envelope-From, walidatory SPF będą szukać rekordu TXT pod adresem subdomain.example.com - ale oni nie będzie przeszukaj domenę nadrzędną.

Innymi słowy, polityka SPF określona w domain.com nie dotyczy wiadomości wysyłanych przez *@subdomain.example.com. Jeśli chcesz, aby obie domeny były chronione przez SPF, powinieneś albo skopiować, albo „włączyć” politykę, albo użyć modyfikatora „przekierowania =”.

grawity
źródło
Masz rację, to było trochę inne w mojej głowie. Wydaje się, że jest to dobrze napisana kompletna odpowiedź (i więcej!), Więc zaznaczenie tego jako odpowiedzi. Przydatne, ponieważ teraz widzę, jak to działa. W moim przykładzie example.com powiedział „sprawdź domena.com dla zakresu adresów IP ”. subdomena.domain.com mówi to samo - sprawdź domena.com dla zakresu adresów IP ”. I tak właśnie było, rekord SPF / TXT z zakresami IP na domena.com
Savvas Radevic
1
W moim pytaniu pomieszałem również „a:” z „include:”. Więc example.com faktycznie miał "v=spf1 include:domain.com ~all", nie "v=spf1 a:domain.com ~all"
Savvas Radevic
1
Odpowiedź na to pytanie wcale się nie różni - zamiast pobierać adresy IP z rekordów „A”, trzeba dodatkowe zasady SPF z rekordów „TXT” w domain.com, ale logika jest nadal taka sama, a subdomeny nie są uwzględniane.
grawity