Cosa sono i record SPF e come li configuro?


49

Questa è una domanda canonica sull'impostazione dei record SPF .

Ho un ufficio con molti computer che condividono un singolo ip esterno (non sono sicuro se l'indirizzo sia statico o dinamico). Ogni computer si collega al nostro server di posta tramite IMAP utilizzando Outlook. L'e-mail viene inviata e ricevuta da quei computer e alcuni utenti inviano e ricevono e-mail anche sui loro telefoni cellulari.

Sto usando http://wizard.easyspf.com/ per generare un record SPF e non sono sicuro di alcuni dei campi della procedura guidata, in particolare:

  1. Immettere eventuali altri domini che possono inviare o inoltrare posta per questo dominio
  2. Immettere eventuali indirizzi IP in formato CIDR per netblock che originano o inoltrano la posta per questo dominio
  3. Immettere eventuali altri host che possono inviare o inoltrare posta per questo dominio
  4. Quanto devono essere severi gli MTA consapevoli di SPF?

le prime poche domande sono abbastanza sicuro di ... spero di aver dato abbastanza informazioni.

Risposte:


68

SPF registra in dettaglio quali server sono autorizzati a inviare posta per il tuo dominio.

Le domande 1-3 riassumono davvero l'intero punto di SPF: dovresti elencare gli indirizzi di tutti i server autorizzati a inviare posta proveniente dal tuo dominio.
Se al momento non disponi di un elenco completo, in genere non è una buona idea impostare un record SPF. Inoltre un dominio può avere un solo record SPF, quindi dovrai combinare tutte le informazioni in un singolo record.

Le singole domande aiutano davvero a scomporre l'elenco per te.

  1. ti chiede altri domini i cui server di posta possano inoltrare messaggi da te; se hai ad esempio un server MX secondario su mail-relay.example.org, e questo è il server di posta principale (record MX) per il dominio example.org, allora dovresti inserire mx:example.org. Il tuo record SPF dovrebbe includere il record MX del tuo dominio in quasi tutte le circostanze ( mx).
  2. ti chiede i tuoi netblock ip. Se si dispone di server associati a 1.2.3.0/28 e lo spazio degli indirizzi dell'ufficio è 6.7.8.0/22, inserire ip4:1.2.3.0/28 ip4:6.7.8.0/22. Lo spazio IPv6 deve essere aggiunto come ad es ip6:2a01:9900:0:4::/64.
  3. se (ad es.) hai anche una macchina spenta nell'ufficio di qualcun altro che deve poter inviare posta dal tuo dominio, inserisci anche quella, ad es a:mail.remote.example.com.

I tuoi utenti di telefonia mobile sono problematici. Se inviano e-mail connettendosi al proprio server di posta utilizzando ad es. SMTP AUTH e inviandolo tramite quel server, è possibile gestirli elencando l'indirizzo del server di posta in (2). Se mandano e-mail da solo la connessione a qualsiasi server di posta offerta del provider 3G / HSDPA, allora non si può fare SPF significato finché non si è rearchitected l'infrastruttura di e-mail in modo che si fa controllare ogni punto da cui e-mail che pretendono di essere da voi colpisce il Internet.

La domanda 4 è leggermente diversa e chiede cosa dovrebbero fare i destinatari con la posta elettronica che afferma di provenire dal tuo dominio e che non proviene da uno dei sistemi sopra elencati. Esistono diverse risposte legali, ma le uniche interessanti sono ~all(soft fail) e -all(hard fail). ?all(nessuna risposta) è inutile come ~all(qv) ed +allè un abominio.

~allè la scelta semplice; indica alle persone che hai elencato un sacco di sistemi che sono autorizzati a inviare posta da te, ma che non stai impegnando tale elenco in modo esaustivo, quindi la posta dal tuo dominio proveniente da altri sistemi potrebbe essere ancora legale. Ti esorto a non farlo. Non solo rende SPF completamente inutile, ma alcuni amministratori di posta su SF configurano deliberatamente i loro ricevitori SPF in modo che vengano considerati ~allcome il badge di uno spammer. Se non hai intenzione di farlo -all, non preoccuparti affatto di SPF .

-allè la scelta utile; indica alle persone che hai elencato i sistemi che sono autorizzati a inviare e-mail da te e che nessun altro sistema è autorizzato a farlo, quindi sono OK per rifiutare le e-mail da sistemi non elencati nel tuo record SPF. Questo è il punto di SPF, ma devi essere sicuro di aver elencato tutti gli host che sono autorizzati a originare o inoltrare la posta da te prima di attivarlo .

Google è noto per consigliare che

La pubblicazione di un record SPF che utilizza -all anziché ~ all può causare problemi di consegna.

bene, sì, può; questo è l'intero punto di SPF . Non possiamo sapere con certezza perché Google fornisca questo consiglio, ma sospetto fortemente che sia per impedire agli amministratori di sistema che non sanno esattamente da dove proviene la loro e-mail di causare problemi di consegna. Se non sai da dove proviene tutta la tua e-mail, non utilizzare SPF . Se hai intenzione di usare SPF, elenca tutti i luoghi da cui proviene e dì al mondo che sei fiducioso in quell'elenco, con -all.

Si noti che nulla di tutto ciò è vincolante per il server di un destinatario; il fatto che pubblicizzi un record SPF non obbliga nessun altro a onorarlo. Spetta agli amministratori di un determinato server di posta quale e-mail scelgono di accettare o rifiutare. Quello che penso che SPF faccia è consentirti di declinare ogni ulteriore responsabilità per le email che affermavano di provenire dal tuo dominio, ma non lo erano. Qualsiasi amministratore di posta che viene da te lamentando che il tuo dominio sta inviando loro spam quando non si sono preoccupati di controllare il record SPF pubblicizzato che avrebbe detto loro che l'e-mail dovrebbe essere respinta può essere inviata via con una pulce all'orecchio.


Poiché questa risposta è stata canonicalizzata, è meglio che dica alcune parole su includee redirect. Quest'ultimo è più semplice; se il tuo record SPF, diciamo per example.com, dice redirect=example.org, allora example.orgil record SPF sostituisce il tuo. example.orgviene anche sostituito al tuo dominio in quelle ricerche (ad esempio, se example.orgil record include il mxmeccanismo, la MXricerca dovrebbe essere eseguita example.org, non sul tuo dominio).

includeè ampiamente frainteso, e come notano gli autori dello standard " il nome 'include' è stato scelto male ". Se il record includedel tuo record SPF example.org, example.orgil record deve essere esaminato da un destinatario per vedere se fornisce qualche motivo (incluso +all) per accettare la tua e-mail . In tal caso, la tua posta dovrebbe passare. In caso contrario, il destinatario dovrebbe continuare a elaborare il record SPF fino all'atterraggio sul allmeccanismo. Pertanto, -allo qualsiasi altro uso di alltranne +all, in un included record, non ha alcun effetto sul risultato dell'elaborazione.

Per ulteriori informazioni sui record SPF, http://www.openspf.org è una risorsa eccellente.


Per favore, non prenderlo nel modo sbagliato, ma se sbagli un record SPF, puoi impedire a una parte significativa di Internet di ricevere email da te fino a quando non lo risolvi. Le tue domande suggeriscono che potresti non essere completamente all'altezza di ciò che stai facendo e, in tal caso, potresti prendere in considerazione l'idea di ottenere assistenza professionale prima di fare qualcosa che ti impedisce di inviare e-mail a un sacco di persone.

Modifica : grazie per le tue gentili parole, sono molto apprezzate.

SPF è principalmente una tecnica per prevenire il joe joe , ma alcune persone sembrano aver iniziato a usarlo per provare a rilevare lo spam. Alcuni di questi potrebbero effettivamente attribuire un valore negativo al fatto che non hai alcun record SPF o un record overbroad (ad esempio a:3.4.5.6/2 a:77.5.6.7/2 a:133.56.67.78/2 a:203.54.32.1/2, che equivale piuttosto subdolamente +all), ma dipende da loro e non c'è molto che puoi fare al riguardo.

Personalmente penso che SPF sia una buona cosa, e dovresti pubblicizzare un record se la tua attuale struttura di posta lo consente, ma è molto difficile dare una risposta autorevole, valida per l'intera Internet, su come le persone usano un record DNS progettato per un scopo specifico, quando decidono di usarlo per uno scopo diverso. Tutto quello che posso dire con certezza è che se si fa pubblicizzare un record SPF con una politica di -alle si sbaglia, un sacco di gente non vedrà mai la posta.

Modifica 2 : eliminata in base ai commenti e per mantenere aggiornata la risposta.


apprezzo la risposta completa e semplice (che ovviamente avevo bisogno). hai ragione nel notare che sono principalmente al buio e non ho affari con il cappello da postino. una domanda di follow-up: dal momento che stiamo parlando di un'operazione molto piccola (circa 10-15 account di posta elettronica in totale) - e non inviare grandi volumi di posta - è questo qualcosa per cui possiamo sopravvivere senza per il momento, o probabilmente finire in molte cartelle spam là fuori? quando facciamo mailing di massa, utilizziamo servizi come mailchimp, ecc.
vulgarbulgar

Il ~ tutto va bene per due cose: 1.quello scenario "non completamente au fait " che hai descritto. Ti consente di eseguire tutte le impostazioni in modo reale, compresi i test reali, prima di premere il grilletto finale. 2.Punteggi di spam. Se davvero non riesci a controllare tutti i tuoi punti di uscita della posta, ~ tutto può aiutare i punteggi di spam per quei sistemi che corrispondono al tuo record (ovviamente: possono anche danneggiare il punteggio per quei sistemi che falliscono).
Joel Coel,

Possono anche danneggiare il punteggio con i sistemi di destinatari i cui amministratori considerano ~allun indicatore di spam sull'intero dominio, di cui almeno uno su SF.
MadHatter supporta Monica l'

2
@MadHatter Un commento specifico a Edit2: l' attuale specifica SPF afferma che è necessario utilizzare uno TXTo entrambi, SPFma che è necessario utilizzare entrambi (identici), la proposta SPF imminente proposta abbandona SPFpoiché l'assorbimento è stato inferiore al previsto e principalmente causa solo problemi di interoperabilità. Con questo in mente sembra sconsigliato solo guardare in alto SPF.
Håkan Lindqvist,

3
Grazie per la verità e ho riso ad alta voce "+ tutto è un abominio".
jerclarke,

3

Ciò che è importante per la tua configurazione è la configurazione del server che infine invia l'e-mail a Internet. Dici di inviare e-mail tramite SMTP. Quindi in termini di indirizzo IP ciò che conta è la configurazione del server SMTP (domanda 2)

Se stai utilizzando una terza parte, come Gmail, per inviare le tue e-mail, devi includere i loro record spf in questo modo: include: _spf.google.com (la procedura guidata Ajax non sembra esserne a conoscenza).

Per "How Stringent", lascia il "soft fail" (~ all) se non sei sicuro, ma altrimenti "rifiuta" (-all) è la strada da percorrere una volta che la tua configurazione è pulita.

Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.