我正在尝试为我的域正确配置 SPF。我们有两台仅接收邮件的 MX 服务器和两台我们希望在 SPF 记录中列出的出站中继服务器。
我们在名为 mail.sub.example.com 的子域中还有一个邮件服务器。它只为这个子域发送邮件。这两个 MX 服务器还负责接收这个域的邮件。
我遇到的问题是,用户经常将他们的邮件从这个子域服务器转发到 Gmail 和其他提供商,他们使用这些远程提供商的功能将邮件发送为[电子邮件保护]。
那么将 Google 的 SPF 记录添加为包含内容是否可取?
我担心这样做会让 Google 的所有人都能伪造我的域名。如果域名没有列出,我们将无法在整个电子邮件链中保持 SPF 提供的安全优势。
我还希望在从我自己的域接收发送到 MX 服务器的电子邮件时受益于 SPF 保护,并使用它来保护我自己的用户免于接收来自我们域中的用户的伪造电子邮件。
答案1
Sub 和 example 应该有单独的 SPF 记录,包括您发送电子邮件的服务器:
我建议使用 ip4:机制,而不是 A、MX 或 PTR,保存这些 DNS 查找以用于包含:如果您稍后添加第三方 ESP。
-全部拒绝
还要研究 DMARC,因为它对于大型邮箱提供商的欺骗保护具有更高的成功率。
Gmail 将从 Gmail 发送电子邮件,但代表[电子邮件保护],因此它将使用 gmail 的 SPF,而不是 example.com