您好,我正在尝试按照本教程为我们的 MT dv 服务器添加 SPF 记录:
http://kb.mediatemple.net/questions/658/如何为我的域名创建 SPF 记录
它指示我添加记录:
v=spf1 a:example.com/20 include:adelphia.net ~all
问题是我们办公室有一半的人使用 Gmail 发送电子邮件,我想确保 Google 被列为安全域。所以我有这个:
v=spf1 a:example.com/20 include:_spf.google.com ~all
我还看到有人建议不要使用~all而是使用-all来限制邮件仅来自这两台服务器。
那么该记录是否是仅使用我们的 example.com 邮件服务器和 gmail 服务器发送电子邮件的正确记录:
v=spf1 a:example.com/20 include:_spf.google.com -all
答案1
是的,没错 - 虽然您可能没有/20,所以您需要调整那里的前缀长度。如果只有该服务器会发送邮件,那么您可以完全放弃 CIDR 子网规范。
~和之间的区别在于-,它~是“软失败”(而-是失败)——它应该只是将消息标记为“失败”但仍然允许它,作为过渡到使用 SPF 的工具。
因此,从给定的 SPF 记录来看,每个发件人地址将被分组为以下四种状态之一:
+- 允许?- 中性的~- 软失败-- 否定
您可以使用这些状态来决定某人是否应该接受声称来自您域的邮件,具体取决于发件人。例如,如果您想将来自您子网的邮件标记为中立(“这些邮件不应该发送邮件,但如果它们发送了,则可能是合法的”),并将您的邮件服务器标记为允许,例如(或者?ip4:192.0.2.0/24 +ip4:192.0.2.25,与 MediaTemple 示例相匹配?a:example.com/24 +a:example.com)。
实际上,许多域名会~永久使用,因为他们不确定邮件是否应该来自其定义网络之外(例如,某些外部服务会伪造您的地址以供合法使用)。但这并不是完全无害的;例如,某些电子邮件系统会将其用作垃圾邮件评分的标准。
答案2
在我的情况下,我使用mx ip4:x.y.z.w -allasip4:会为客户端保存一些 DNS 查询。如果您可以使用,mx则不会影响性能,因为大多数系统已经检查了该记录 - 因此它在 DNS 缓存中。这ip4:是我的备份 out-MX。
会-all减少成功投递的伪造邮件数量,但总有一个“但是”:有人使用欺骗程序转发邮件。如果最终目的地不知道欺骗程序,而您放置了-all,您的合法电子邮件将被拒绝。