Aggiunta di un record SPF per una terza parte, ma non ne ho uno per il mio dominio

Abbiamo un servizio di terze parti che invia alcune e-mail per nostro conto. Stanno usando il nostro nome di dominio nelle loro e-mail in uscita. Ci hanno richiesto di configurare un record SPF per loro.

Al momento non abbiamo un record SPF definito per il nostro dominio, che è lo stesso che lo "spoofing" della terza parte.

La mia preoccupazione è che se aggiungiamo un record per una terza parte senza definire anche la nostra, la posta proveniente dai nostri server potrebbe essere respinta.

La mia preoccupazione è valida?

email spf

— k1DBLITZ
fonte

Quanto sarà difficile per te crearne uno?

— Michael Hampton,

Non difficile. Il potenziale problema, a mio modo di vedere, è che ci sono più servizi di terze parti che stiamo utilizzando che stanno attualmente falsificando il nostro dominio e se non aggiungo record SPF per tutti loro, aggiungendo solo 1 potrei invalidare gli altri quando i server di posta che ricevono casuali cercano il record SPF per il nostro dominio e vedono che i nomi / IP non corrispondono.

— k1DBLITZ,

Risposte:

Se non si dispone di alcun record SPF, i destinatari generalmente non riescono ad accettare la propria e-mail (anche se questo sta iniziando a cambiare). Non appena si fornisce un record SPF, è necessario includere tutti i mittenti di posta legittimi, altrimenti quelli non elencati potrebbero essere trattati come possibili fonti di falsificazione.

A rigor di termini, puoi includere ~allo ?alled evitare di elencare tutti i tuoi mittenti di posta, ma se lo fai non otterrai alcun beneficio dal record SPF se non per il test che è altrimenti accurato.

Idealmente le tue terze parti avranno già un record SPF generico e puoi semplicemente aggiungere l' include:spf.thirdparty.domelemento al tuo record. In caso contrario, potresti voler creare il tuo record per loro e incatenarlo comunque, in modo che sia facile da gestire amministrativamente.

Ad esempio, se sei contoso.com:

thirdparty1.spf.contoso.com txt 'v=spf1 ... -all' # list their mail senders for you
thirdparty2.spf.contoso.com txt 'v=spf1 ... -all' # list their mail senders for you
spf.contoso.com txt 'v=spf1 ... -all'             # list your mail senders
contoso.com txt 'v=spf1 include:spf.contoso.com include:thirdpart1.spf.contoso.com include:thirdparty2.spf.contoso.com -all'

Alcune risorse utili:

DMARC fa parte di SPF e DKIM e vale la pena prendere in considerazione. È attivamente utilizzato da Google, Yahoo e altri per la convalida della posta elettronica in entrata, https://dmarc.org/overview/
Un elenco delle migliori pratiche durante l'impostazione di un record SPF, http://www.openspf.org/Best_Practices
Nonostante il nome, una ricetta utile per impostare un record SPF, http://www.openspf.org/FAQ/Common_mistakes

— roaima
fonte

Hai una fonte su questo?

— Aaron Hall,

@AaronHall sono sufficienti quei collegamenti alle risorse? In caso contrario, puoi chiarire cosa stai cercando

— roaima,

Puoi inserire il tuo servizio di terze parti in un record SPF con una regola neutrale per altri server:

?all

E includi almeno i tuoi server di posta con:

+mx

È una buona cosa avere un record SPF sul tuo dominio. Inizia ad aggiungere white list e neutral per gli altri, e quando avrai un record SPF aggiornato con tutti i tuoi server puoi cambiare il default in fail (-all) o softfail (~ all).

C'è una buona documentazione qui e molte altre informazioni utili su openspf.org

— mick
fonte

Parte del problema che sto affrontando è che non ho un elenco aggiornato di tutte le altre società che inviano e-mail per nostro conto. Stai dicendo che se uso il tuo approccio posso aggiungerli ai record SPF man mano che vengono scoperti senza influire sul nostro flusso di posta di produzione? Puoi fornire una sintassi di esempio specifica con domini fittizi? Ho esaminato le informazioni che hai collegato ed è molto utile, ma non posso permettermi di sbagliare.

— k1DBLITZ,

Puoi farlo per passo: prima aggiungi il tuo servizio di terze parti, il tuo mx e neutro per tutti gli altri: "a: your3rppart mx? All". Quindi aggiorna il tuo SPF con altri server. Pensiamo di averli tutti cambiano la politica di default in softfail o fail

— mick

Seriamente, SPF senza -allnon è solo completamente inutile, ma alcuni amministratori lo usano come un segno attivo di spammer. Non farlo

— MadHatter,

"tutto è meglio quindi -tutto se non sai cosa stai facendo, le politiche DMARC si applicano ancora a" tutti uguali a -tutto e molti grandi ESP non si preoccupano più -tutto a causa della prima affermazione

— Jacob Evans,

Seriamente, SPF senza -all non è solo completamente inutile, ma alcuni amministratori lo usano come un segno attivo di spammer. Non farlo - quindi dovrebbero correggere i loro sistemi rotti che non seguono le specifiche SPF; " Se i proprietari di domini scelgono di pubblicare record SPF, si RACCOMANDA che finiscano in" -all " " - ietf.org/rfc/rfc4408.txt - Non è obbligatorio. SoftFail è uno stato distinto.

— TessellatingHeckler,