SPF registra in dettaglio quali server sono autorizzati a inviare posta per il tuo dominio.
Le domande 1-3 riassumono davvero l'intero punto di SPF: dovresti elencare gli indirizzi di tutti i server autorizzati a inviare posta proveniente dal tuo dominio.
Se al momento non disponi di un elenco completo, in genere non è una buona idea impostare un record SPF. Inoltre un dominio può avere un solo record SPF, quindi dovrai combinare tutte le informazioni in un singolo record.
Le singole domande aiutano davvero a scomporre l'elenco per te.
- ti chiede altri domini i cui server di posta possano inoltrare messaggi da te; se hai ad esempio un server MX secondario su mail-relay.example.org, e questo è il server di posta principale (record MX) per il dominio
example.org
, allora dovresti inserire mx:example.org
. Il tuo record SPF dovrebbe includere il record MX del tuo dominio in quasi tutte le circostanze ( mx
).
- ti chiede i tuoi netblock ip. Se si dispone di server associati a 1.2.3.0/28 e lo spazio degli indirizzi dell'ufficio è 6.7.8.0/22, inserire
ip4:1.2.3.0/28 ip4:6.7.8.0/22
. Lo spazio IPv6 deve essere aggiunto come ad es ip6:2a01:9900:0:4::/64
.
- se (ad es.) hai anche una macchina spenta nell'ufficio di qualcun altro che deve poter inviare posta dal tuo dominio, inserisci anche quella, ad es
a:mail.remote.example.com
.
I tuoi utenti di telefonia mobile sono problematici. Se inviano e-mail connettendosi al proprio server di posta utilizzando ad es. SMTP AUTH e inviandolo tramite quel server, è possibile gestirli elencando l'indirizzo del server di posta in (2). Se mandano e-mail da solo la connessione a qualsiasi server di posta offerta del provider 3G / HSDPA, allora non si può fare SPF significato finché non si è rearchitected l'infrastruttura di e-mail in modo che si fa controllare ogni punto da cui e-mail che pretendono di essere da voi colpisce il Internet.
La domanda 4 è leggermente diversa e chiede cosa dovrebbero fare i destinatari con la posta elettronica che afferma di provenire dal tuo dominio e che non proviene da uno dei sistemi sopra elencati. Esistono diverse risposte legali, ma le uniche interessanti sono ~all
(soft fail) e -all
(hard fail). ?all
(nessuna risposta) è inutile come ~all
(qv) ed +all
è un abominio.
~all
è la scelta semplice; indica alle persone che hai elencato un sacco di sistemi che sono autorizzati a inviare posta da te, ma che non stai impegnando tale elenco in modo esaustivo, quindi la posta dal tuo dominio proveniente da altri sistemi potrebbe essere ancora legale. Ti esorto a non farlo. Non solo rende SPF completamente inutile, ma alcuni amministratori di posta su SF configurano deliberatamente i loro ricevitori SPF in modo che vengano considerati ~all
come il badge di uno spammer. Se non hai intenzione di farlo -all
, non preoccuparti affatto di SPF .
-all
è la scelta utile; indica alle persone che hai elencato i sistemi che sono autorizzati a inviare e-mail da te e che nessun altro sistema è autorizzato a farlo, quindi sono OK per rifiutare le e-mail da sistemi non elencati nel tuo record SPF. Questo è il punto di SPF, ma devi essere sicuro di aver elencato tutti gli host che sono autorizzati a originare o inoltrare la posta da te prima di attivarlo .
Google è noto per consigliare che
La pubblicazione di un record SPF che utilizza -all anziché ~ all può causare problemi di consegna.
bene, sì, può; questo è l'intero punto di SPF . Non possiamo sapere con certezza perché Google fornisca questo consiglio, ma sospetto fortemente che sia per impedire agli amministratori di sistema che non sanno esattamente da dove proviene la loro e-mail di causare problemi di consegna. Se non sai da dove proviene tutta la tua e-mail, non utilizzare SPF . Se hai intenzione di usare SPF, elenca tutti i luoghi da cui proviene e dì al mondo che sei fiducioso in quell'elenco, con -all
.
Si noti che nulla di tutto ciò è vincolante per il server di un destinatario; il fatto che pubblicizzi un record SPF non obbliga nessun altro a onorarlo. Spetta agli amministratori di un determinato server di posta quale e-mail scelgono di accettare o rifiutare. Quello che penso che SPF faccia è consentirti di declinare ogni ulteriore responsabilità per le email che affermavano di provenire dal tuo dominio, ma non lo erano. Qualsiasi amministratore di posta che viene da te lamentando che il tuo dominio sta inviando loro spam quando non si sono preoccupati di controllare il record SPF pubblicizzato che avrebbe detto loro che l'e-mail dovrebbe essere respinta può essere inviata via con una pulce all'orecchio.
Poiché questa risposta è stata canonicalizzata, è meglio che dica alcune parole su include
e redirect
. Quest'ultimo è più semplice; se il tuo record SPF, diciamo per example.com
, dice redirect=example.org
, allora example.org
il record SPF sostituisce il tuo. example.org
viene anche sostituito al tuo dominio in quelle ricerche (ad esempio, se example.org
il record include il mx
meccanismo, la MX
ricerca dovrebbe essere eseguita example.org
, non sul tuo dominio).
include
è ampiamente frainteso, e come notano gli autori dello standard " il nome 'include' è stato scelto male ". Se il record include
del tuo record SPF example.org
, example.org
il record deve essere esaminato da un destinatario per vedere se fornisce qualche motivo (incluso +all
) per accettare la tua e-mail . In tal caso, la tua posta dovrebbe passare. In caso contrario, il destinatario dovrebbe continuare a elaborare il record SPF fino all'atterraggio sul all
meccanismo. Pertanto, -all
o qualsiasi altro uso di all
tranne +all
, in un include
d record, non ha alcun effetto sul risultato dell'elaborazione.
Per ulteriori informazioni sui record SPF, http://www.openspf.org è una risorsa eccellente.
Per favore, non prenderlo nel modo sbagliato, ma se sbagli un record SPF, puoi impedire a una parte significativa di Internet di ricevere email da te fino a quando non lo risolvi. Le tue domande suggeriscono che potresti non essere completamente all'altezza di ciò che stai facendo e, in tal caso, potresti prendere in considerazione l'idea di ottenere assistenza professionale prima di fare qualcosa che ti impedisce di inviare e-mail a un sacco di persone.
Modifica : grazie per le tue gentili parole, sono molto apprezzate.
SPF è principalmente una tecnica per prevenire il joe joe , ma alcune persone sembrano aver iniziato a usarlo per provare a rilevare lo spam. Alcuni di questi potrebbero effettivamente attribuire un valore negativo al fatto che non hai alcun record SPF o un record overbroad (ad esempio a:3.4.5.6/2 a:77.5.6.7/2 a:133.56.67.78/2 a:203.54.32.1/2
, che equivale piuttosto subdolamente +all
), ma dipende da loro e non c'è molto che puoi fare al riguardo.
Personalmente penso che SPF sia una buona cosa, e dovresti pubblicizzare un record se la tua attuale struttura di posta lo consente, ma è molto difficile dare una risposta autorevole, valida per l'intera Internet, su come le persone usano un record DNS progettato per un scopo specifico, quando decidono di usarlo per uno scopo diverso. Tutto quello che posso dire con certezza è che se si fa pubblicizzare un record SPF con una politica di -all
e si sbaglia, un sacco di gente non vedrà mai la posta.
Modifica 2 : eliminata in base ai commenti e per mantenere aggiornata la risposta.