Thêm bản ghi SPF cho bên thứ 3, nhưng không có bản ghi cho tên miền của riêng tôi

Chúng tôi có dịch vụ bên thứ 3 gửi một số email thay mặt chúng tôi. Họ đang sử dụng tên miền của chúng tôi trong các email gửi đi của họ. Họ đã yêu cầu chúng tôi cấu hình một bản ghi SPF cho họ.

Hiện tại chúng tôi không có bản ghi SPF được xác định cho tên miền của chính chúng tôi, đó là bản ghi mà bên thứ 3 đang "giả mạo".

Mối quan tâm của tôi là nếu chúng tôi thêm một bản ghi cho bên thứ 3 mà không xác định chính chúng tôi thì thư có nguồn gốc từ máy chủ của chúng tôi có thể bị từ chối.

Mối quan tâm của tôi có hợp lệ không?

email spf

— k1DBLITZ
nguồn

Làm thế nào khó khăn cho bạn để tạo ra một?

— Michael Hampton

Không khó. Vấn đề tiềm ẩn, như tôi thấy, là có nhiều dịch vụ của bên thứ 3 chúng tôi đang sử dụng hiện đang giả mạo tên miền của chúng tôi và nếu tôi không thêm các bản ghi SPF cho tất cả chúng, thì chỉ cần thêm 1 tôi có thể vô hiệu hóa các dịch vụ khác khi máy chủ nhận thư ngẫu nhiên tra cứu bản ghi SPF cho tên miền của chúng tôi và xem tên / IP không khớp.

— k1DBLITZ

Câu trả lời:

Nếu bạn không có bản ghi SPF thì người nhận thường sẽ không an toàn và chấp nhận email của bạn (mặc dù điều đó bắt đầu thay đổi). Ngay khi bạn cung cấp bản ghi SPF, bạn phải bao gồm tất cả những người gửi thư hợp pháp, vì nếu không, những người không được liệt kê có thể được coi là nguồn giả mạo có thể.

Nói một cách chính xác, bạn có thể bao gồm ~allhoặc ?alltránh liệt kê tất cả những người gửi thư của bạn, nhưng nếu bạn làm điều đó, bạn sẽ không nhận được bất kỳ lợi ích nào từ bản ghi SPF ngoài việc kiểm tra xem nó có chính xác không.

Lý tưởng nhất là các bên thứ ba của bạn sẽ có bản ghi SPF chung và bạn chỉ cần thêm include:spf.thirdparty.domphần tử vào bản ghi của mình. Nếu họ không, bạn có thể muốn tạo bản ghi của riêng bạn cho họ và tự mình xâu chuỗi nó, để bạn dễ dàng quản lý hành chính.

Ví dụ: nếu bạn là contoso.com:

thirdparty1.spf.contoso.com txt 'v=spf1 ... -all' # list their mail senders for you
thirdparty2.spf.contoso.com txt 'v=spf1 ... -all' # list their mail senders for you
spf.contoso.com txt 'v=spf1 ... -all'             # list your mail senders
contoso.com txt 'v=spf1 include:spf.contoso.com include:thirdpart1.spf.contoso.com include:thirdparty2.spf.contoso.com -all'

Một số tài nguyên hữu ích:

DMARC đang giảm SPF và DKIM, và rất đáng để xem xét. Nó đang được Google, Yahoo và những người khác tích cực sử dụng để xác thực email gửi đến, https://dmarc.org/overview/
Danh sách các thực tiễn tốt nhất khi thiết lập bản ghi SPF, http://www.openspf.org/Best_Practices
Mặc dù tên, một công thức hữu ích để thiết lập bản ghi SPF, http://www.openspf.org/FAQ/Common_mistakes

— roaima
nguồn

Bạn có một nguồn về điều này?

— Aaron Hall

@AaronHall là những liên kết tài nguyên có đủ? Nếu không, bạn có thể làm rõ những gì bạn đang tìm kiếm

— roaima

Bạn có thể đặt dịch vụ bên thứ 3 của mình ở bản ghi SPF với quy tắc trung lập cho các máy chủ khác:

?all

Và bao gồm ít nhất các máy chủ thư của riêng bạn với:

+mx

Đó là một điều tốt để có một bản ghi SPF trên tên miền của bạn. Bắt đầu thêm danh sách trắng và trung tính cho những người khác và khi bạn sẽ có bản ghi SPF cập nhật với tất cả các máy chủ của mình, bạn có thể thay đổi mặc định thành fail (-all) hoặc softfail (~ all).

Có một tài liệu tốt ở đây và rất nhiều thông tin hữu ích khác trên openspf.org

— bệnh
nguồn

Một phần của vấn đề tôi gặp phải là tôi không có danh sách cập nhật tất cả các công ty khác gửi email thay mặt chúng tôi. Bạn có nói rằng nếu tôi sử dụng phương pháp của bạn, tôi có thể thêm chúng vào các bản ghi SPF khi chúng được phát hiện mà không ảnh hưởng đến dòng thư sản xuất của chúng tôi không? Bạn có thể cung cấp một cú pháp ví dụ cụ thể với các miền hư cấu không? Tôi đã xem xét thông tin bạn liên kết và nó rất hữu ích, nhưng tôi không đủ khả năng để hiểu sai.

— k1DBLITZ

Bạn có thể làm điều đó theo từng bước: trước tiên hãy thêm dịch vụ bên thứ 3, mx của bạn và trung lập cho tất cả những người khác: "a: your3rppart mx? All". Sau đó cập nhật SPF của bạn với các máy chủ khác. Chúng tôi nghĩ rằng bạn có tất cả thay đổi chính sách mặc định thành lỗi mềm hoặc thất bại

— mick

Nghiêm túc mà nói, SPF mà -allkhông chỉ hoàn toàn vô nghĩa, mà một số quản trị viên sử dụng nó như một dấu hiệu tích cực của những kẻ gửi thư rác. Đừng làm điều đó.

— MadHatter

? tất cả sẽ tốt hơn - nếu bạn không biết mình đang làm gì, các chính sách DMARC vẫn áp dụng cho - tất cả giống như - tất cả và rất nhiều TRÒ CHƠI lớn không quan tâm nữa - vì tuyên bố đầu tiên

— Jacob Evans

Nghiêm túc mà nói, SPF không có - không chỉ hoàn toàn vô nghĩa, mà một số quản trị viên còn sử dụng nó như một dấu hiệu tích cực của những kẻ gửi thư rác. Đừng làm điều đó - sau đó họ nên sửa các hệ thống bị hỏng không tuân theo thông số SPF; " Nếu chủ sở hữu tên miền chọn xuất bản bản ghi SPF, thì KHUYẾN NGHỊ rằng họ kết thúc bằng" -all " " - ietf.org/rfc/rfc4408.txt - Không bắt buộc. SoftFail là một trạng thái riêng biệt.

— TessellatingHeckler